![Page 1: Законодательные основы проведения проверки Роскомнадзора](https://reader036.vdocuments.pub/reader036/viewer/2022081806/568134a9550346895d9bb765/html5/thumbnails/1.jpg)
Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных.
Обзор административных мер и локальных актов, регулирующих обработку и защиту персональных
данных в компании.
![Page 2: Законодательные основы проведения проверки Роскомнадзора](https://reader036.vdocuments.pub/reader036/viewer/2022081806/568134a9550346895d9bb765/html5/thumbnails/2.jpg)
2
Законодательные основы проведения проверки Роскомнадзора
Правовыми основаниями проверки являются: Трудовой кодекс РФ (Глава 14); Федеральный закон от 26.12.08 №294-ФЗ «О защите прав юридических
лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»;
Федеральный закон от 27.07.2006 3152-ФЗ «О персональных данных»; Постановление Правительства РФ от 06.07.08 №512 «Об утверждении
требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
Постановление Правительства РФ от 15.09.08 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановление Правительства РФ от 17.11.07 №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
Приказ ФСТЭК России, ФСБ России, Минсвязи России №55/86/20 от 13.02.08 «Об утверждении порядка проведения классификации информационных системах персональных данных».
![Page 3: Законодательные основы проведения проверки Роскомнадзора](https://reader036.vdocuments.pub/reader036/viewer/2022081806/568134a9550346895d9bb765/html5/thumbnails/3.jpg)
3
Законодательные основы проведения проверки Роскомнадзора
Федеральный закон от 26.12.08 №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»:
Вступил в силу с 1 мая 2009 года. Срок проведения проверки 20 рабочих дней. В
исключительных случаях может быть пролонгирован еще на 20 рабочих дней.
Акт проверки оформляется непосредственно после ее завершения в двух экземплярах.
Юридические лица обязаны вести Журнал учета проверок!!!! (по типовой форме, утвержденной Приказом Минэкономразвития РФ от 30.04.09 №141).
Возражения на Акт проверки и предписание об устранении нарушений могут быть заявлены в течение 15 дней с даты получения.
![Page 4: Законодательные основы проведения проверки Роскомнадзора](https://reader036.vdocuments.pub/reader036/viewer/2022081806/568134a9550346895d9bb765/html5/thumbnails/4.jpg)
4
Основные мероприятия Оператора ПД
К основным мероприятиям по приведению деятельности Оператора ПД в соответствие с законодательством о персональных данных относятся:
Анализ персональных данных, обрабатываемых Оператором.
Подготовка уведомления об обработке персональных данных. Внесение изменений в реестр операторов данных.
Проверка наличия в договорах, заключенных Оператором и Субъектом ПД, условия, безусловно подтверждающего согласие Субъекта ПД на обработку ПД или законного основания отсутствия такового.
Проверка наличия договоров оператора с третьими лицами на обработку персональных данных (например, договор аренды, договор ОМС/ДМС, договор на открытие расчетного счета доверительного управляющего, договор со специализированным депозитарием).
![Page 5: Законодательные основы проведения проверки Роскомнадзора](https://reader036.vdocuments.pub/reader036/viewer/2022081806/568134a9550346895d9bb765/html5/thumbnails/5.jpg)
5
Основные мероприятия Оператора ПД
Проверка обработки ПД без использования средств автоматизации.
Положение об обработке ПД без использования средств автоматизации должно предусматривать:
перечень обрабатываемых ПД; отдельные материальные носители для каждой категории ПД; ознакомление с ним сотрудников Оператора; порядок уничтожения или обезличивания ПД; организацию раздельного хранения ПД различных категорий; при необходимости правила ведения журнала для пропуска
субъекта ПД на территорию Оператора.
![Page 6: Законодательные основы проведения проверки Роскомнадзора](https://reader036.vdocuments.pub/reader036/viewer/2022081806/568134a9550346895d9bb765/html5/thumbnails/6.jpg)
6
Основные мероприятия Оператора ПД
Проверка соблюдения требований при обработке ПД работников Оператора.
Положение об обработке ПД работников должно включать в себя:
перечень обрабатываемых ПД работников; необходимость ознакомления с ним работников
Оператора; перечень случаев получения письменного согласия от
работника; порядок хранения и использования ПД работника; соблюдение требований при передаче ПД работника.
![Page 7: Законодательные основы проведения проверки Роскомнадзора](https://reader036.vdocuments.pub/reader036/viewer/2022081806/568134a9550346895d9bb765/html5/thumbnails/7.jpg)
7
Основные мероприятия Оператора ПД
Выполнение необходимых организационных мер для защиты ПД от неправомерного или случайного доступа включает в себя:
утверждение перечня лиц, обрабатывающих ПД, и мест хранения ПД;
наличие перечня лиц, имеющих допуск в помещение;
наличие и порядок обмена ПД при их обработке в ИСПДн;
включение в договор условия о конфиденциальности ПД;
наличие электронного журнала обращений на получение ПД;
наличие приказа о составе комиссии по классификации ИСПДн, акта о классификации ИСПДн, модели угроз.
![Page 8: Законодательные основы проведения проверки Роскомнадзора](https://reader036.vdocuments.pub/reader036/viewer/2022081806/568134a9550346895d9bb765/html5/thumbnails/8.jpg)
8
Основные мероприятия Оператора ПД
Проверка наличия трансграничной передачи ПД.
В случае ее осуществления принимаются следующие меры:
Выявляются иностранные государства, на территорию которых передаются ПД;
Если государство не обеспечивает адекватной защиты прав субъектов ПД необходимы:
- письменное согласие субъекта ПД; - наличие условия о такой передаче в договоре.
![Page 9: Законодательные основы проведения проверки Роскомнадзора](https://reader036.vdocuments.pub/reader036/viewer/2022081806/568134a9550346895d9bb765/html5/thumbnails/9.jpg)
9
Основные мероприятия Оператора ПД
Проверка наличия обработки специальных категорий ПД, касающихся расовой, национальной принадлежности, религиозных или философских убеждений, политических взглядов, состояния здоровья, интимной жизни включает в себя:
выявление основания обработки специальных категорий ПД (например, общедоступные данные, письменное согласие субъекта).
![Page 10: Законодательные основы проведения проверки Роскомнадзора](https://reader036.vdocuments.pub/reader036/viewer/2022081806/568134a9550346895d9bb765/html5/thumbnails/10.jpg)
10
Основные мероприятия Оператора ПД
Анализ документов, регулирующих архивное делопроизводство Оператора, которые должны включать в себя:
перечень документов и их сроки хранения; порядок уничтожения документов; утвержденный состав органа, в полномочия которого
входит уничтожение документов.
![Page 11: Законодательные основы проведения проверки Роскомнадзора](https://reader036.vdocuments.pub/reader036/viewer/2022081806/568134a9550346895d9bb765/html5/thumbnails/11.jpg)
11
Примерный перечень документов, касающихся обработки ПД
К документам, регулирующим или касающимся обработки персональных данных относятся:
- Положение об обработке ПД работников;
- Положение о неавтоматизированной обработке ПД;
- Утвержденный перечень лиц, обрабатывающих ПД;
- Договоры, заключенные между Компанией и субъектом ПД, в которых подтверждается согласие субъекта ПД на их обработку;
- Документы, подтверждающие ознакомление работников с правилами обработки ПД, с Положением о коммерческой тайне;
![Page 12: Законодательные основы проведения проверки Роскомнадзора](https://reader036.vdocuments.pub/reader036/viewer/2022081806/568134a9550346895d9bb765/html5/thumbnails/12.jpg)
12
Примерный перечень документов, касающихся обработки ПД
- Документы, регулирующие архивное делопроизводство и порядок уничтожения документов, в том числе приказ о назначении уполномоченного органа по уничтожению документов с персональными данными, акты об уничтожении;
- Документы с перечнем мер, необходимых для обеспечения условий соблюдения конфиденциальности и сохранности ПД;
- Положение о порядке работы с документами, содержащими конфиденциальную информацию;
- Журнал для пропуска субъекта ПД на территорию Компании;
- Акт классификации информационных систем ПД (ИСПДн);
- Приказ о назначении комиссии по классификации ИСПДн;
- Перечень технических средств, участвующих в обработке ПД.
![Page 13: Законодательные основы проведения проверки Роскомнадзора](https://reader036.vdocuments.pub/reader036/viewer/2022081806/568134a9550346895d9bb765/html5/thumbnails/13.jpg)
13
ЗАКЛЮЧЕНИЕ
СПАСИБО ЗА ВНИМАНИЕ!!!
Презентацию для Вас подготовила:
Долганова Наталья Станиславовна — старший юрисконсульт ООО «Управляющая компания «КапиталЪ»
(495)777-01-70 (доб. 2422) [email protected]