управление по защите прав субъектов персональных данных роскомнадзора
Управление по защите прав субъектов персональных данных роскомнадзора
Наименование Уполномоченного органа по защите прав субъектов персональных данных: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций
Почтовый адрес для направления документов и обращений: 109074 109992, г.Москва, Китайгородский пр., д.7, стр.2.
ВНИМАНИЕ! Изменился почтовый индекс Роскомнадзора!
Почтовые отправления, направленные на почтовый индекс 109074, будут перенаправляться в Роскомнадзор через почтовое отделение № 109012.
пн-чт 8:30-17:30, пт 8.30-16:15.
В связи с необходимостью принятия мер по нераспространению коронавирусной инфекции, временно с 23 марта 2020 года приостанавливается личный прием документов от граждан.
Для организации взаимодействия рекомендуем обращаться в Роскомнадзор:
— в электронной форме через электронную почту (rsoc_in@rkn.gov.ru), официальный сайт (rkn.gov.ru), Портал государственных услуг (gosuslugi.ru);
— в письменной форме посредством почтовой связи.
Территориальными органами Уполномоченного органа по защите прав субъектов персональных данных являются управления Роскомнадзора по субъектам Российской Федерации.
Управление по защите прав субъектов персональных данных роскомнадзора
Защита прав субъектов персональных данных
Ответы на вопросы в сфере защиты прав субъектов персональных данных
Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?
Вопрос: Кто может являться оператором персональных данных?
При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.
Вопрос: Что включает в себя понятие конфиденциальности?
Ответ: В соответствии со ст. 7 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Вопрос: В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?
Ответ: В соответствии ч. 1 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Исключение составляют случаи, предусмотренные ч. 2 настоящей статьи, при обработке персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Вопрос: Распространяются ли требования Федерального закона «О персональных данных» на юридическое лицо иностранного государства?
Ответ: Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.
Вопрос: Является ли веб-сайт информационной системой обработки персональных данных?
В случае соответствия веб-сайта указанным требованиям он является информационной системой.
Вопрос: Как документально оформить факт уничтожения персональных данных субъекта?
Ответ: Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.
Оцените содержание раздела:
Низкое Ниже среднего Среднее Выше среднего Высокое Оценить
Время публикации: 26.11.2010 14:02
Последнее изменение: 11.08.2021 12:41
Управление по защите прав субъектов персональных данных роскомнадзора
Адрес Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций:
109074 109992, г.Москва, Китайгородский пр., д.7, стр.2.
ВНИМАНИЕ! Изменился почтовый индекс Роскомнадзора!
Почтовые отправления, направленные на почтовый индекс 109074, будут перенаправляться в Роскомнадзор через почтовое отделение № 109012.
Телефоны:
пн-чт 8:30-17:30, пт 8.30-16:15.
В связи с необходимостью принятия мер по нераспространению коронавирусной инфекции, временно с 23 марта 2020 года приостанавливается личный прием документов от граждан.
Для организации взаимодействия рекомендуем обращаться в Роскомнадзор:
— в электронной форме через электронную почту (rsoc_in@rkn.gov.ru), официальный сайт (rkn.gov.ru), Портал государственных услуг (gosuslugi.ru);
— в письменной форме посредством почтовой связи.
Пресс-служба – (495) 587-42-92 e-mail: press@rkn.gov.ru
Разработка и поддержка интернет-портала Роскомнадзора – webmaster@rkn.gov.ru
Социальные сети ведомства:
Оцените содержание раздела:
Низкое Ниже среднего Среднее Выше среднего Высокое Оценить
Время публикации: 17.11.2010 16:22
Последнее изменение: 01.09.2021 16:22
© 2009-2021, Версия 2.15.19
Официальный сайт Федеральной службы по надзору в сфере связи,
информационных технологий и массовых коммуникаций
Управление по защите прав субъектов персональных данных роскомнадзора
Положения об Управлениях Роскомнадзора
Положение об Управлении разрешительной работы, контроля и надзора в сфере массовых коммуникаций Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (TIFF, 5.47 Mb)
Положение об Управлении разрешительной работы в сфере связи Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (TIFF, 6.15 Mb)
Положение об Управлении по защите прав субъектов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (TIFF, 4.20 Mb)
Положение об Управлении контроля и надзора в сфере связи Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (TIFF, 7.74 Mb)
Положение Об Управлении контроля и надзора в сфере электронных коммуникаций Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (TIFF, 5.81 Mb)
Положение о Финансово-административном управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (TIFF, 5.92 Mb)
Положение об Управлении организационного развития и информационных технологий Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (TIFF, 6.71 Mb)
Положение об Управлении правового обеспечения, международного и общего взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (TIFF, 5.38 Mb)
Оцените содержание раздела:
Низкое Ниже среднего Среднее Выше среднего Высокое Оценить
Время публикации: 30.01.2012 17:09
Последнее изменение: 30.09.2021 14:10
Как подготовиться к проверке РКН по персональным данным: полное руководство
О нас
Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.
В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.
Чего там нового в законодательстве?
По теме проверок по защите персональных данных было написано немало статей и многие из них вышли раньше 2015 года. Чтобы как-то въехать в настоящие реалии, в первую очередь необходимо проанализировать, что же поменялось за последние годы в законодательстве.
242-ФЗ
Сначала давайте вспомним небезызвестный 242-ФЗ. В 2015 году он наделал много шуму в связи с необходимостью локализации персональных данных граждан РФ на территории РФ. Спустя четыре года единственным крупным пострадавшим от этого закона является социальная сеть Linkedin.
Но была в 242-ФЗ и другая сторона, не растиражированная так активно в СМИ.
В 242-ФЗ были очень важные в контексте проводимых РКН проверок по персональным данным изменения: на деятельность Роскомнадзора в сфере защиты прав субъектов персональных данных с 1 сентября 2015 года не распространяется федеральный закон №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
Что это значит? Для операторов персональных данных, как можно догадаться, – ничего хорошего. Теперь, как уже показала практика, — сильно уменьшилось количество плановых проверок и соразмерно увеличилось количество внеплановых. Об этом говорят и планы проверок Роскомнадзора, опубликованные в конце 2015 года (и в последующих годах) на сайте ведомства. Плановых проверок по персональным данным там — раз, два и обчелся, в отличие от предыдущих годов.
Основная проблема внеплановых проверок в том, что о них нельзя узнать с хорошим временным запасом и, как следствие, — нельзя как можно лучше подготовиться. Например, раньше, когда публиковался план проверок, каждый мог скачать его и узнать, находится ли организация в нем или нет. И врасплох можно было застать только те немногие организации, дата проверки у которых значилась январем-февралем. Остальные имели возможность нормально подготовиться, даже если до этого момента в организации по защите персональных данных совсем ничего не делалось. Сейчас лучше, конечно же, быть готовым к проверке Роскомнадзора по персональным данным в любой момент, то есть всегда держать наготове актуальный комплект документации по защите персональных данных.
13.11 КоАП РФ
Другое важное законодательное изменение это изменение статьи 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных». Эти изменения полностью преобразовали наказание за нарушение законодательства в сфере защиты персональных данных. Ранее статья 13.11 не разбивалась на части, и максимальный штраф был предусмотрен в размере 10 тысяч рублей для юридических лиц. Сейчас же здесь имеется 7 частей (да еще и планируется расширение), по одной из которых (нарушение правил обработки специальных категорий персональных данных) предусмотрен максимальный штраф для юридических лиц – 75 000 рублей. К тому же, при выявлении проверяющими разных нарушений – наказания по разным частям статьи КоАП теоретически могут складываться. Почему «теоретически»? Раньше на сайтах региональных управлений РКН в разделе «Новости» постоянно публиковались новости о том, что регулятор проверил условно 3 организации на выполнение законодательства о персональных данных, у организации №1 все хорошо, организацию №2 оштрафовали на 3 тысячи рублей, организацию №3 оштрафовали на 5 тысяч рублей. Можно было собрать такие новости в кучу за год и подбить некоторую статистику по штрафам. Сейчас же таких новостей нет. Если у кого-то имеются данные по штрафам за нарушение 152-ФЗ после изменений в 13.11 КоАП РФ, то можете поделиться такой информацией в комментариях.
Здесь стоит сразу отметить, что в первоначальном тексте законопроекта по изменению статьи 13.11 КоАП РФ изначально фигурировали более значительные суммы штрафов, например, там где в итоге максимальный штраф был установлен в 75 000 рублей, изначально планировалось наказывать аж на 300 000 рублей. Солидно, но до сумм за нарушение GDPR все равно далеко. Но, несмотря на то, что суммы штрафов в итоге сильно уменьшились, к сожалению, некоторые продавцы услуг по защите персональных данных до сих пор пытаются запугать цифрой «300 000». Будьте бдительны.
Итак, мы убедились, что возросшая вероятность внеплановой проверки и многократно возросшие штрафы за нарушение 152-ФЗ неплохо так стимулируют быть готовыми к проверке в любой момент. Давайте же разбираться, что нам нужно для этого сделать.
Виды проверок
Прежде чем мы перейдем к непосредственным шагам по подготовке к проверкам, давайте посмотрим, какие виды проверок бывают и как проходит типичная проверка.
В целом, проверки можно разделить на 2 вида: документарные и выездные.
Документарные проверки
Документарная проверка чаще всего начинается с того, что в организацию приходит письмо из местного управления РКН с каким-либо требованием. Если в вашей организации, например, не подавали уведомление о её внесении в реестр операторов персональных данных, то вам могут напомнить, о том, что неплохо бы это уведомление все-таки подать. Закон ведь требует. Или обосновать, почему ваша организация может обрабатывать персональные данные без уведомления (в 152-ФЗ предусмотрен ряд исключений). Если уведомление ваша организация всё же подавала, то вам могут напомнить о том, что в реестре время от времени появляются новые поля и их тоже необходимо заполнять. Например, необходимо указать местонахождение ЦОДа и то, является ли он арендуемым или собственным. И да, база данных 1С на компьютере главбуха в понимании Роскомнадзора это ЦОД.
Вас также могут попросить прислать по почте копии документов, регламентирующих защиту персональных данных в организации — приказы, инструкции, модель угроз и вот это все.
Итак, вы получили такое письмо от Роскомнадзора, что делать?
На самом деле тут проще сказать чего категорически не следует делать — игнорировать эти письма. К сожалению, на практике многие поступают именно так. Кто-то забывает ответить, кто-то не знает, что писать в ответ и не отвечает, а кто-то надеется, что про них забудут и все спустится само собой на тормозах. Нет, не забудут, не в этом случае.
Может у каких-то ведомств и распространена такая практика — написать письмо в организацию «для галочки» и забыть, но только не у РКН. Поэтому отвечать желательно в установленный в письме срок, иначе организация будет наказана по статье 19.7 КоАП РФ «Непредставление или несвоевременное представление сведений информации в государственный орган». Можно зайти на сайт своего регионального управления Роскомнадзора (%номер _региона%.rkn.gov.ru) в раздел «Новости». В 2016 году добрая половина новостей была посвящена привлечению юридических лиц к ответственности по той самой статье КоАП РФ. Причем в каждой новости могло фигурировать до 10-15 организаций. Сейчас такие новости тоже есть, но меньше, связано это, скорее всего с тем, что сам РКН стал менее активно рассылать «письма счастья».
Штраф по 19.7 КоАП РФ небольшой — 3-5 тысяч рублей, но тут нужно помнить, что после того как вы заплатите штраф, затребованные в изначальном письме сведения все равно придется предоставить.
Если по содержанию присланного вам письма что-то непонятно, то в конце обычно указан исполнитель письма и его контактные данные. Всегда можно позвонить и уточнить, что же регулятор все-таки от вас хочет.
Про документарные проверки, пожалуй, добавить нечего, перейдем к выездным.
Выездные проверки
Из самого названия уже становится ясно, что проверяющие как минимум два-три раза окажутся на вашей территории. По нашему опыту можем сказать, что процесс проверки выглядит примерно так:
Во-первых, ни в коем случае не нужно идти с проверяющими на конфликт и как-либо препятствовать проведению проверки («терять» ключ от кабинета с документами и тому подобные уловки). Да, проверяющие тоже могут ошибаться. Яркий пример такой ошибки, связанной с чрезмерным увлечением запретами всего и вся случилась у нас в Приморском крае в 2015-2016 годах. Синдром вахтера никто не отменял, и в процессе проверки могут предъявляться совершенно противоправные и необоснованные требования. Но это никак не отменяет простых правил человеческого общения. Если вы с чем-то не согласны, выскажите это спокойно, попросите ссылку на законодательство, чем обусловлено сомнительное требование.
Во-вторых, неважно какие претензии будут высказаны проверяющими во время проверки, важно только то, что будет написано в акте по итогам проведенной проверки. Приведу простой пример, на одной из проверок представители РКН утверждали, что необходимо разделять информационные системы персональных данных «Бухгалтерия» и «Кадры» и в документах соответственно их описывать раздельно. Требование совершенно ничем не подкреплено законодательно, а само определение ИСПДн из 152-ФЗ не запрещает объединять информационные системы и описывать их так, как мы этого сами захотим. Мы можем в лечебном учреждении объединить документально систему с медицинскими данными с теми же кадробухами, и сказать, что это у нас одна ИСПДн. Правда в этом случае нужно помнить, что вероятно кадробухов придется защищать по более высокому уровню защищенности персональных данных, который будет определен для части информационной системы с медициной. Но вот бухгалтерию отделять от кадров и для каждой системы отдельно плодить горы приказов, инструкций и моделей угроз даже с точки зрения здравого смысла совсем не правильно. Так вот, главное в этой истории то, что в акте по итогам проверки было написано «нарушений законодательства не было выявлено». И это перечеркивает все словесные неправомерные замечания проверяющих.
В-третьих, обязательно необходимо проинструктировать всех своих сотрудников, участвующих в обработке каких-либо персональных данных что можно, а что нельзя делать и говорить во время проверки. Например, можно обрабатывать ПДн в соответствии с инструкциями и правилами, но нельзя разбрасывать на рабочем столе копии паспортов сотрудников.
Уведомление оператора персональных данных
Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:
Как проверить наличие уведомления в реестре и что делать дальше
Далее, не зависимо от того, какой результат мы получили на предыдущем этапе, нужно проверить, есть ли запись о вашей организации в реестре операторов персональных данных. Здесь легко можно найти запись в реестре по названию или ИНН организации.
Дальше ваши действия должны выглядеть примерно следующим образом.
Если организация попадает под исключения и уведомления нет — отлично, так и должно быть! Ничего не делаем.
Если организация попадает под исключения, но уведомление есть в реестре. Что ж, возможно кто-то несколько лет назад, например, по указанию уже ушедшего на пенсию руководителя, направил это уведомление. Но это можно исправить. Предусмотрена процедура по исключению организаций из реестра операторов ПДн. Для этого нужно просто написать письмо в территориальное управление Роскомнадзора с указанием номера уведомления и описанием причин, почему ваша организация не обязана находиться в реестре операторов персональных данных. Затем в том же письме просим удалить соответствующую запись из реестра. Ждем 30 дней. Проверяем. Если запись осталась в реестре, созваниваемся с Роскомнадзором и уточняем получено ли и отработано ли ваше письмо.
Если организация не попадает под исключения, но уведомления в реестре нет — срочно идем заполнять уведомление! Почему срочно? Да потому что по закону уведомление необходимо заполнять до начала обработки персональных данных, если такая обработка не попадает под все те же исключения из 22 статьи закона №152-ФЗ «О персональных данных». О том, как правильно и грамотно заполнить уведомление с нуля или прокачать уже существующее планируется одна из следующих статей.
Ну и последний вариант: организация не попадает под исключения, но уведомление в реестре есть. Хотел бы я тут написать, как и в первом случае, что ничего не нужно делать, но нет. Не зря я выше сказал, что помимо отсутствия уведомления как такового, одной из частых причин предписания по итогам проверки и выписывания штрафа по статье 13.11 КоАП РФ является несоответствие данных в уведомлении тому, что происходит на самом деле. Например, указаны не все категории обрабатываемых персональных данных или не указаны меры по обеспечению безопасности ПДн. Причин такому несоответствию может быть много, но вот две основные:
После заполнения формы о внесении изменений (или первичного уведомления) необходимо распечатать получившийся на выходе документ, подписать, поставить печать (если есть) и отправить аналоговым письмом в территориальное управление Роскомнадзора. Только на основании бумажного письма будет внесена запись в реестр или внесены изменения в уже существующую запись.
Документация к проверке
Хотелось оставить этот торжественный момент на конец статьи. Но что уж там, раз уже перешли к разговору о комплекте необходимой документации, то вот ссылка на наш комплект шаблонов. В архиве 4 папки и шаблон «Модели угроз». Здесь мы будем говорить только о документах из папок «Общее» и «ПДн». «Общее» — это документы, которые могут применяться плюс-минус для любых информационных систем, а «ПДн» это чисто роскомнадзоровская часть. Полное описание состава документов в архиве можно посмотреть у нас на сайте.
Статья получилась итак достаточно объемная, поэтому разбирать из каких конкретно требований появился тот или иной документ (или раздел документа) здесь не будем. Это тема для отдельной статьи. Давайте пройдемся по общим моментам.
Состав документов
Итак, первым делом перед специалистом, которому поручили подготовиться к грядущей проверке встает вопрос – а какие вообще документы нужны. Специалист обращается к законодательству и… Не находит практически ничего полезного. Ну не то чтобы прям совсем ничего. Да, наверное, специалист наткнется на постановление Правительства РФ от 21.02.2012 №211 и скажет: «Вот, вы были не правы, вот, есть же список документов!». Да, есть. Только специалиста здесь ждет своего рода ловушка. Если обзавестись только документами из этого списка, организация получит предписание по итогам проверки, потому что список не перекрывает и малой части требований законодательства. Плюс в списке встречаются такие несуразности как, например, необходимость отдельно утверждать перечень ИСПДн. Зачем для этого делать отдельный документ, когда можно перечислить ИСПДн в «Положении об обработке и защите ИСПДн» или в «Политике информационной безопасности» — непонятно. Ну и наконец, постановление №211 относится только к государственным и муниципальным органам, поэтому к большинству операторов ПДн – не применимо. И, кстати, в нашем наборе документов по постановлению 211 нет, так как большинство вопросов итак учтены в других документах.
Хорошо, давайте посмотрим, что там у нас есть еще в законодательстве.
В федеральном законе «О персональных данных» напрямую говорится только о необходимости разработки «Модели угроз безопасности» (хотя «напрямую» тоже не совсем верно сказано, в законе написано, что нужно определять угрозы безопасности ПДн) и о публикации «Политики в отношении обработки персональных данных».
О процессе разработки Модели угроз мы, возможно, также подробнее напишем в одной из последующих статей.
Все остальное описано неоднозначно, примерно в таком духе:
Оператор обязан принимать меры… К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
…
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
И так далее. Поскольку прямого указания выпускать тот или иной документ нет, читать и понимать 152-ФЗ следует именно так: если написано про осуществление внутреннего контроля, то для выполнения этого требования должны быть разработаны документы, определяющие план, порядок такого контроля, а также некие акты или журналы, в которых отражены результаты контроля. Проверяющих не устроит рассказ о том, что вы выполнили требование по назначению ответственного за организацию обработки персональных данных просто устно обозначив такую ответственность одному из сотрудников. Должен быть документ! В этом конкретном случае — приказ о назначении такого ответственного.
Если есть ответственный, то ему полагается инструкция – за что он отвечает, и какие у него есть права и полномочия. Часто такую инструкцию называют «должностной», что на наш взгляд в большинстве случаев не совсем правильно. Ведь «ответственный за организацию обработки персональных данных» это, как правило, не отдельная должность, а лишь дополнительная обязанность, которая возлагается на того или иного сотрудника.
В общем и целом нам необходимо досконально изучить законодательство по защите персональных данных, выискивая намеки на необходимость наличия различных документов. При этом можно написать одно «Положение об обработке и защите персональных данных», а можно сделать отдельно «Положение об обработке. » и «Положение о защите. ». Здесь уже как кому больше нравится.
Содержание документов
Хорошо, с составом документов понятно, а что там с содержанием? А с этим еще хуже. Есть редкие рекомендации регуляторов, как например здесь, но это скорее исключения. В целом здесь можно дать такие общие рекомендации:
Заключение
Давайте подытожим, что нам нужно сделать, чтобы подготовиться к проверке РКН по вопросам выполнения законодательства в сфере защиты персональных данных и успешно ее пройти.
А еще у нас есть учебный центр! Ближайшие курсы состоятся 20 мая и 22 мая по продуктам FortiGate. С полным списком учебных курсов можно ознакомиться здесь. Да, мы находимся во Владивостоке, но у нас есть большой опыт организации выездных курсов.