K h ^ j ` Z g b - Deloitte United States · 2020. 9. 6. · 6 1.3. K i b k h d h g y l b c i j _ ^...
95
Transcript of K h ^ j ` Z g b - Deloitte United States · 2020. 9. 6. · 6 1.3. K i b k h d h g y l b c i j _ ^...
2
Содержание
1. Общие положения ............................................................................................................................. 4
1.1. О документе ................................................................................................................................................. 4
1.2. Список сокращений и аббревиатур ........................................................................................................... 4
1.3. Список понятий и определений ................................................................................................................. 6
1.4. Общие положения по организации обработки и обеспечению безопасности ПДн .............................. 8
1.5. Построение СЗПДн ..................................................................................................................................... 9
1.6. Организация внутреннего контроля ........................................................................................................ 11
1.7. Прохождение и содержание проверок (государственного надзора) .................................................... 12
1.8. Улучшение порядка управления и обеспечения обработки и защиты ПДн ........................................ 12
2. Порядок организации обработки ПДн .......................................................................................... 14
2.1. Основные правила обработки ПДн.......................................................................................................... 14
2.2. Порядок предоставления доступа сотрудников к ПДн ......................................................................... 14
2.3. Порядок обработки ПДн, включая сбор, хранение и уточнение ПДн ................................................. 15
2.4. Порядок уничтожения ПДн ...................................................................................................................... 16
3. Порядок обеспечения безопасности ПДн при их обработке в ИСПДн ........................................ 17
3.1. Возложение ответственности за обеспечение безопасности ПДн ........................................................ 17
3.2. Основные мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн ................ 17
4. Лицо, ответственное за организацию обработки ПДн ................................................................. 19
4.1. Статус лица, ответственного за организацию обработки ПДн ............................................................. 19
4.2. Функции лица, ответственного за организацию обработки ПДн ......................................................... 19
4.3. Полномочия лица, ответственного за организацию обработки ПДн ................................................... 20
4.4. Ответственность лица, ответственного за организацию обработки ПДн ............................................ 20
5. Порядок взаимодействия с субъектами ПДн или их представителями ...................................... 21
5.1. Основные правила взаимодействия с субъектами ПДн ........................................................................ 21
5.2. Обработка запросов об уточнении неполных, устаревших, неточных ПДн ....................................... 22
5.3. Обработка запросов о прекращении неправомерной обработки ПДн ................................................. 23
5.4. Обработка отзывов согласий на обработку ПДн .................................................................................... 23
5.5. Предоставление ПДн субъектов их представителям, членам их семей и родственникам ................. 24
6. Порядок обмена информацией, содержащей ПДн, с третьим лицами и неопределенным
кругом лиц ............................................................................................................................................. 25
6.1. Получение ПДн ......................................................................................................................................... 25
6.2. Раскрытие ПДн .......................................................................................................................................... 25
6.3. Передача ПДн ............................................................................................................................................ 25
6.4. Трансграничная передача ПДн ................................................................................................................ 25
7. Порядок обработки и защиты ПДн, обрабатываемых без использования средств
автоматизации ....................................................................................................................................... 27
7.1. Обработка ПДн без использования средств автоматизации ................................................................. 27 7.2. Меры по обеспечению безопасности ПДн при их обработке, осуществляемой без использования
средств автоматизации ........................................................................................................................................ 28
8. Порядок доступа сотрудников в помещения, в которых ведется обработка ПДн ..................... 30
8.1. Доступ в помещения, где осуществляется обработка ПДн ................................................................... 30
8.2. Доступ в помещения, где размещены СКЗИ и носители информации СКЗИ ..................................... 30
9. Порядок проведения периодических проверок состояния организации обработки и
обеспечения безопасности ПДн ............................................................................................................. 32
9.1. Организация проведения проверок ......................................................................................................... 32
10. Порядок проведения оценки вреда субъектам, ПДн которых обрабатываются ........................ 33
10.1. Методика проведения оценки вреда, который может быть причинен субъектам ПДн ..................... 33
10.2. Правила соотнесения возможного вреда субъектам ПДн и реализуемых Оператором мер .............. 33
3
11. Содержание ответственности за нарушение норм, регулирующих обработку и защиту ПДн .. 34
12. Приложения .................................................................................................................................... 35
12.1. Обязательство сотрудника об обеспечении конфиденциальности и безопасности ПДн, а также о
прекращении обработки ПДн ............................................................................................................................. 35 12.2. Журнал учёта проведения инструктажей сотрудников по соблюдению правил обработки и защиты
ПДн 36
12.3. Журналы учета носителей, предназначенных для хранения ПДн ........................................................ 37
12.4. Журнал учета обращений субъектов (представителей субъектов) ПДн .............................................. 40
12.5. Журнал учета запросов и требований уполномоченных органов ........................................................ 41 12.6. Журнал поэкземплярного учета СЗКИ, эксплуатационной и технической документации к ним,
ключевых документов ......................................................................................................................................... 42 12.7. Журнал учёта инструктажей лиц, допущенных к работе со СЗКИ, предназначенными для
обеспечения безопасности ПДн ......................................................................................................................... 43
12.8. Акт об уничтожении ПДн......................................................................................................................... 44
12.9. Акт установления УЗ ПДн при их обработке в ИСПДн ........................................................................ 45 12.10. Акт приема-передачи документов (иных материальных носителей информации), содержащих ПДн
субъектов .............................................................................................................................................................. 46 12.11. Согласие субъекта персональных данных (работника) на обработку персональных данных
работодателем ...................................................................................................................................................... 47
12.12. Согласие субъекта персональных данных (соискателя) на обработку персональных данных ......... 57 12.13. Разъяснение субъекту (представителю субъекта) ПДн последствий отказа от предоставления своих
ПДн 59 12.14. Бланк запроса субъекта (представителя субъекта) ПДн на доступ, уточнение, блокирование или
уничтожение ПДн ................................................................................................................................................ 60 12.15. Бланк ответа на запрос субъекта (представителя субъекта) ПДн о доступе, уточнении,
блокировании или уничтожении ПДн ............................................................................................................... 61
12.16. Бланк уведомления субъекта (представителя субъекта) о начале обработки его ПДн ...................... 62
12.17. Бланк уведомления уполномоченного органа об устранении нарушений при обработке ПДн ........ 63
12.18. Соглашение о поручении обработки ПДн между резидентами РФ ..................................................... 64
12.19. Соглашение о поручении обработки ПДн между резидентом и нерезидентом РФ ........................... 66
12.20. Соглашение о передаче ПДн между резидентами РФ ........................................................................... 70
12.21. Соглашение о передаче ПДн между резидентом и нерезидентом РФ ................................................. 71
12.22. План внутренних проверок состояния организации обработки и обеспечения безопасности ПДн . 73 12.23. Оценка вреда, который может быть причинен субъектам ПДн, а также соотношение возможного
вреда субъектам ПДн и реализуемых Оператором мер ................................................................................... 74
12.24. Контроли несоответствий и рекомендации по устранению несоответствий ...................................... 78
12.25. Порядок взаимодействия с уполномоченными органами ..................................................................... 91
4
1. Общие положения
1.1. О документе
1.1.1. Настоящее «Положение ЗАО «Делойт и Туш СНГ» об организации обработки и обеспечении
безопасности персональных данных» (далее – Положение) определяет порядок обработки и
обеспечения безопасности персональных данных субъектов персональных данных в ЗАО «Делойт
и Туш СНГ» (далее – Оператор).
1.1.2. Положение разработано в соответствии с действующим законодательством Российской
Федерации в области обработки и защиты персональных данных.
1.1.3. Положение обязательно для исполнения всеми лицами, непосредственно осуществляющими
обработку и защиту персональных данных в Операторе. Нарушение порядка обработки и защиты
персональных данных, определённого Положением, влечёт материальную, дисциплинарную,
гражданскую, административную и уголовную ответственность в соответствии с нормами
действующего законодательства Российской Федерации.
1.1.4. Положение вступает в силу после его утверждения руководителем Оператора. Все изменения в
Положение вносятся на основании решения руководителя Оператора в установленном порядке.
1.1.5. Положение распространяется, в том числе, на обработку обезличенных данных, а также
персональных данных, сделанных общедоступными субъектом персональных данных.
1.1.6. Все персональные данные, обрабатываемые Оператором, за исключением обезличенных данных
и персональных данных, сделанными общедоступными субъектом персональных данных,
признаются информацией ограниченного доступа.
1.2. Список сокращений и аббревиатур
1.2.1. В Положении используются следующие сокращения и аббревиатуры:
АРМ Автоматизированное рабочее место
БД База данных
ГК РФ Гражданский кодекс Российской Федерации
ИБ Информационная безопасность
ИС Информационная система
ИТ Информационные технологии
ИСПДн Информационная система персональных данных
КоАП РФ Кодекс об административных правонарушениях Российской Федерации
НСД Несанкционированный доступ
ОРД Организационно-распорядительная документация
ПДн Персональные данные
ПО Программное обеспечение
П-21 Состав и содержание организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных (утв. приказом ФСТЭК России от 18.02.2013 № 21)
П-274 Перечень иностранных государств, не являющихся сторонами Конвенции Совета
Европы о защите физических лиц при автоматизированной обработке персональных
данных и обеспечивающих адекватную защиту прав субъектов персональных данных
(утв. приказом Роскомнадзора РФ от 15.03.2013 № 274)
П-346 Административный регламент Федеральной службы по надзору в сфере связи,
информационных технологий и массовых коммуникаций по предоставлению
5
государственной услуги «Ведение реестра операторов, осуществляющих обработку
персональных данных» (утв. приказом Минкомсвязи РФ от 21.12.2011 № 346)
П-378 Состав и содержание организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных с использованием средств криптографической защиты информации,
необходимых для выполнения установленных Правительством Российской Федерации
требований к защите персональных данных для каждого из уровней защищенности (утв.
приказом ФСБ России от 10.07.2014 № 378)
П-996 Требования и методы по обезличиванию персональных данных (утв. приказом
Роскомнадзора РФ от 05.09.2013 № 996)
ПП-1119 Требования к защите персональных данных при их обработке в информационных
системах персональных данных (утв. постановлением Правительства РФ от 01.11.2012
№ 1119)
ПП-687 Положение об особенностях обработки персональных данных, осуществляемой без
использования средств автоматизации (утв. постановлением Правительства РФ от
15.09.2008 № 687)
Роскомнадзор Федеральная служба по надзору в сфере связи, информационных технологий и массовых
коммуникаций Российской Федерации (уполномоченный орган по защите прав
субъектов персональных данных)
РФ Российская Федерация
СЗИ Средства защиты информации
СКЗИ Средства криптографической защиты информации
СЗПДн Система защиты персональных данных
СКУД Система контроля и управления доступом
ТЗ Техническое задание
ТЗКИ Техническая защита конфиденциальной информации
ТК РФ Трудовой кодекс Российской Федерации
УЗ Уровень защищенности персональных данных при обработке в информационной
системе персональных данных
УК РФ Уголовный кодекс Российской Федерации
ФСБ России Федеральная служба безопасности Российской Федерации (федеральный орган
исполнительной власти, уполномоченный в области обеспечения безопасности)
ФСТЭК
России
Федеральная служба по техническому и экспортному контролю Российской Федерации
(федеральный орган исполнительной власти, уполномоченный в области
противодействия техническим разведкам и технической защиты информации)
149-ФЗ Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных
технологиях и о защите информации»
152-ФЗ Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
242-ФЗ Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные
законодательные акты Российской Федерации в части уточнения порядка обработки
персональных данных в информационно-телекоммуникационных сетях»
99-ФЗ Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов
деятельности»
6
1.3. Список понятий и определений
1.3.1. В Положении используются следующие основные понятия и определения:
Автоматизированная
обработка ПДн
Обработка ПДн с помощью средств вычислительной техники.
БД Представленная в объективной форме совокупность самостоятельных материалов
(статей, расчетов, нормативных актов, судебных решений и иных подобных
материалов), систематизированных таким образом, чтобы эти материалы могли
быть найдены и обработаны с помощью электронной вычислительной машины.
Биометрические ПДн Сведения, которые характеризуют физиологические и биологические особенности
человека, на основании которых можно установить его личность и которые
используются оператором для установления личности субъекта ПДн.
Блокирование ПДн Временное прекращение обработки ПДн (за исключением случаев, если обработка
необходима для уточнения ПДн).
Доступ к ПДн Возможность получения ПДн и их использования.
Запись ПДн Ввод ПДн в электронную вычислительную машину и (или) фиксация ПДн на
материальном носителе.
Изменение ПДн Действия, направленные на модификацию значений ПДн.
Извлечение ПДн Действия, направленные на построение структурированных ПДн из
неструктурированных или слабоструктурированных машиночитаемых
документов.
Информация Сведения (сообщения, данные) независимо от формы их представления.
Информационная
система
Совокупность содержащейся в БД информации и обеспечивающих ее обработку
информационных технологий и технических средств.
ИСПДн Совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку
информационных технологий и технических средств.
Информационный
поиск ПДн
Действия, методы и процедуры, позволяющие осуществлять отбор определенных
ПДн из массива данных.
Информационные
технологии
Процессы, методы поиска, сбора, хранения, обработки, предоставления,
распространения информации и способы осуществления таких процессов и
методов.
Использование ПДн Действия (операции) с ПДн, совершаемые оператором в целях принятия решений
или совершения иных действий, порождающих юридические последствия в
отношении субъекта ПДн или других лиц, либо иным образом затрагивающих
права и свободы субъекта ПДн или других лиц.
Конфиденциальность
информации
Обязательное для выполнения лицом, получившим доступ к определенной
информации, требование не передавать такую информацию третьим лицам без
согласия ее обладателя.
Материальный
носитель
информации
(носитель
документированной
информации)
Материальный объект, используемый для закрепления и хранения на нем речевой,
звуковой или изобразительной информации, в т.ч. в преобразованном виде.
Накопление ПДн Действия, направленные на формирование исходного, несистематизированного
массива ПДн.
7
Неавтоматизированн
ая обработка ПДн
(обработка ПДн без
использования
средств
автоматизации)
Обработка ПДн, содержащихся в ИСПДн либо извлеченных из такой системы,
если такие действия с ПДн, как использование, уточнение, распространение,
уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при
непосредственном участии человека. Обработка ПДн не может быть признана
осуществляемой с использованием средств автоматизации только на том
основании, что ПДн содержатся в ИСПДн либо были извлечены из нее.
Обезличенные
данные
Данные, хранимые в ИС в электронном виде, принадлежность которых
конкретному субъекту ПДн невозможно определить без дополнительной
информации.
Обезличивание ПДн Действия, в результате которых становится невозможным без использования
дополнительной информации определить принадлежность ПДн конкретному
субъекту ПДн.
Обновление ПДн Действия, направленные на приведение записанных ПДн в соответствие с
состоянием отображаемых объектов предметной области.
Обработка ПДн Любое действие (операция) или совокупность действий (операций), совершаемых
с использованием средств автоматизации или без использования таких средств с
ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу (распространение,
предоставление, доступ), обезличивание, блокирование, удаление, уничтожение
ПДн.
Обработчик Лицо, осуществляющее обработку ПДн по поручению оператора.
Общедоступные
источники ПДн
Содержащиеся в информационных системах или зафиксированные на
материальных носителях ПДн, доступ неограниченного круга лиц к которым
предоставлен с письменного согласия субъекта этих ПДн.
Оператор ПДн Государственный орган, муниципальный орган, юридическое или физическое
лицо, самостоятельно или совместно с другими лицами организующие и (или)
осуществляющие обработку ПДн, а также определяющие цели обработки ПДн,
состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Оператор ИСПДн Гражданин или юридическое лицо, осуществляющие деятельность по
эксплуатации ИСПДн, в т.ч. по обработке ПДн, содержащихся в ее БД. Если иное
не установлено федеральными законами, оператором ИСПДн является
собственник (владелец на ином основании) технических средств, используемых
для обработки содержащихся в БД ПДн, который правомерно пользуется такими
БД, или лицо, с которым этот собственник (владелец) заключил договор об
эксплуатации ИСПДн.
ПДн Любая информация, относящаяся к прямо или косвенно определенному или
определяемому физическому лицу (субъекту ПДн).
ПДн, сделанные
общедоступными
субъектом
ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн
либо по его просьбе.
Передача ПДн Распространение, предоставление или доступ к ПДн.
Помещение Часть объема здания или сооружения, имеющая определенное назначение и
ограниченная строительными конструкциями, в которой: осуществляется
обработка ПДн; размещены используемые СКЗИ, хранятся СКЗИ и (или) носители
ключевой, аутентифицирующей и парольной информации СКЗИ.
Предоставление ПДн Действия, направленные на раскрытие ПДн определенному лицу или
определенному кругу лиц.
8
Программно-
техническая база
ИСПДн
Программные и технические средства серверной части ИСПДн, включая
системное (в т.ч. операционная система), прикладное (в т.ч. система управления
базами данных) и специальное программное обеспечение.
Раскрытие ПДн Обеспечение доступа к ПДн неограниченного круга лиц независимо от цели
получения указанных ПДн.
Распространение ПДн Действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Сбор ПДн Целенаправленные действия оператора или специально привлеченных оператором
для этого третьих лиц по получению ПДн непосредственно от субъекта ПДн или
его представителя.
СЗПДн Совокупность организационных и (или) технических мер, определенных с учетом
актуальных угроз безопасности ПДн и информационных технологий,
используемых в ИСПДн.
СКЗИ Аппаратные, программные и программно-аппаратные шифровальные
(криптографические) средства, реализующие алгоритмы криптографического
преобразования информации для ограничения доступа к ней, в том числе при ее
хранении, обработке и передаче.
Систематизация ПДн Действия, направленные на объединение и расположение ПДн в определенной
последовательности.
Специальные
категории ПДн
ПДн, в т.ч., касающиеся расовой, национальной принадлежности, политических
взглядов, религиозных или философских убеждений, состояния здоровья,
интимной жизни, о судимости.
Техническое средство Изделие, оборудование, аппаратура или их составные части, функционирование
которых основано на законах электротехники, радиотехники и (или) электроники,
содержащие электронные компоненты и (или) схемы, которые выполняют одну
или несколько следующих функций: усиление, генерирование, преобразование,
переключение и запоминание.
Удаление ПДн Изъятие ПДн из информационных систем с сохранением последующей
возможности их восстановления.
Уничтожение ПДн Действия, в результате которых становится невозможным восстановить
содержание ПДн в ИСПДн и (или) в результате которых уничтожаются
материальные носители ПДн.
Уточнение ПДн Действия, направленные на обновление или изменение ПДн.
Хранение ПДн Действия, направленные на неизменность состояния материального носителя ПДн.
1.4. Общие положения по организации обработки и обеспечению безопасности ПДн
1.4.1. Необходимость формирования порядка организации обработки и обеспечения безопасности ПДн
обусловлена требованиями действующих нормативных правовых актов, устанавливающими для
Оператора обязанности по соответствию объема и содержания обрабатываемых ПДн заявленным
целям сбора, уточнению, хранению и уничтожению ПДн, соблюдению условий обработки ПДн, в
том числе получению согласия субъектов на обработку их ПДн, установлению схем
взаимодействия как внутри Оператора, так и с субъектами ПДн, третьими лицами, регуляторами
(уполномоченными органами).
1.4.2. Одним из элементов указанного порядка в части вопросов организации обработки ПДн является
лицо, ответственное за организацию обработки ПДн. Указанное лицо назначается в
установленном Оператором порядке, и в его основные обязанности входит, в том числе:
(1) осуществление внутреннего контроля за соблюдением Оператором и его сотрудниками
законодательства о ПДн, в том числе требований к их защите;
9
(2) доведение до сведения сотрудников Оператора положений законодательства РФ в области
ПДн, локальных актов Оператора по вопросам обработки ПДн, требований к их защите;
(3) организация приема и обработки обращений и запросов субъектов ПДн или их
представителей и (или) осуществление контроля за приемом и обработкой таких обращений
и запросов.
1.4.3. Оператором разрабатывается система локальных актов по вопросам обработки ПДн, а также
локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление
нарушений законодательства РФ в области ПДн, устранение последствий таких нарушений.
1.4.4. Оператор разрабатывает и размещает в свободном доступе документ, определяющий политику
Оператора в отношении обработки и защиты ПДн.
1.4.5. Оператор проводит оценку возможного вреда субъектам ПДн в связи с возможным нарушением
прав и законных интересов субъекта ПДн (далее – оценка вреда), определённых действующим
законодательством РФ в области ПДн, а также соотносит возможный вред субъектам ПДн с
реализуемыми Оператором мерами.
1.4.6. Оператор направляет в Роскомнадзор уведомление об обработке ПДн. В случае изменения
сведений, содержащихся в уведомлении, а также в случае прекращения обработки ПДн Оператор
также уведомляет об этом Роскомнадзор. Форма уведомления об обработке (о намерении
осуществлять обработку) ПДн, а также форма информационного письма о внесении изменений в
сведения об Операторе в реестре операторов, осуществляющих обработку ПДн, установлены П-
346.
1.4.7. Сотрудники Оператора, непосредственно осуществляющие обработку ПДн, знакомятся с
положениями законодательства РФ в области ПДн, в том числе требованиями к защите ПДн,
локальными актами по вопросам обработки ПДн, а также проходят инструктаж об изменении
требований законодательства РФ в области ПДн.
1.4.8. Обеспечение безопасности ПДн, обрабатываемых в ИСПДн Оператора, осуществляется в
соответствии с требованиями ПП-1119, а также в соответствии с требованиями нормативных
актов ФСТЭК России и ФСБ России. Для осуществления контроля за выполнением указанных
требований Оператор 1 раз в 3 года привлекает организацию, имеющую лицензию на
осуществление деятельности по ТЗКИ.
1.4.9. Выполнение требований законодательства РФ в области организации обработки ПДн
контролируется лицом, ответственным за организацию обработки ПДн, либо комиссией,
формируемой в установленном Оператором порядке, посредством проведения внутреннего
контроля.
1.4.10. В случае выявления нарушений требований законодательства РФ в области ПДн Оператор
проводит служебное расследование. По результатам служебного расследования возможно
привлечение к юридической ответственности:
(1) лица, ответственного за организацию обработки ПДн, – к дисциплинарной,
административной (ст.ст.5.39, 13.11, 13.14, 19.7 КоАП РФ), гражданско-правовой
(возмещение морального, имущественного вреда, понесенных субъектом ПДн убытков) или
уголовной (ст.ст.137, 315 УК РФ) ответственности;
(2) сотрудников Оператора, осуществляющих обработку ПДн, – к дисциплинарной (ст.192 ТК
РФ), материальной (глава 39 ТК РФ), административной (ст.ст.5.27, 13.14 КоАП РФ),
гражданско-правовой (возмещение морального, имущественного вреда, понесенных
субъектом ПДн убытков) или уголовной (ст.137, 272 УК РФ) ответственности.
1.5. Построение СЗПДн
1.5.1. Построение СЗПДн необходимо в случае осуществления Оператором обработки ПДн в ИСПДн и
регламентируется:
(1) ПП-1119, которое определяет необходимость и порядок создания СЗПДн, оперируя при этом
понятием «оператор ИСПДн», на которого оно и возлагает обязанности по созданию СЗПДн;
10
(2) П-21, который описывает процедуру определения состава и содержания технических и
организационных мероприятий в рамках СЗПДн;
(3) иными нормативными актами ФСТЭК России и ФСБ России.
1.5.2. Для каждой ИСПДн определяется лицо, являющееся её оператором. Согласно 149-ФЗ, оператором
ИСПДн является лицо, осуществляющее деятельность по эксплуатации ИСПДн, в том числе по
обработке информации, содержащейся в её БД. При этом оператором ИСПДн является
собственник используемых для обработки содержащейся в БД информации технических средств,
которые правомерно используются такими БД, или лицо, с которым этот собственник заключил
договор об эксплуатации данной ИСПДн.
1.5.3. При определении лица, осуществляющего эксплуатацию ИСПДн, помимо прав на технические
средства, необходимо также учесть положения законодательства об авторском праве, в
соответствии с которыми эксплуатацию невозможно осуществлять без обладания правами на
программное обеспечение. Кроме того, в состав ИСПДн входят также технические и программные
средства, с помощью которых производится доступ в ИСПДн третьими лицами. Таким образом,
для определения лица, осуществляющего эксплуатацию ИСПДн, необходимо исходить из
наличия прав на программно-техническую базу ИСПДн.
1.5.4. Определение оператора ИСПДн осуществляется следующим способом:
(1) если программно-техническая база ИСПДн принадлежат одному лицу, при этом это лицо не
имеет договора, в котором оно поручало бы эксплуатацию данной ИСПДн другому лицу, то
оно является оператором данной ИСПДн;
(2) если лицо осуществляет эксплуатацию ИСПДн в соответствии с договором, заключённым с
лицом, являющимся владельцем программно-технической базы ИСПДн, то оно является
оператором данной ИСПДн;
(3) если программно-техническая база ИСПДн принадлежит разным лицам, между этими
лицами должен быть заключен договор, по которому одно из этих лиц или третье лицо
осуществляет эксплуатацию ИСПДн. Лицо, осуществляющее эксплуатацию ИСПДн, и
будет являться оператором данной ИСПДн.
1.5.5. СЗПДн создается для каждой ИСПДн. СЗИ, применяемые при создании одной СЗПДн, могут
одновременно использоваться и в других СЗПДн. Оператор ИСПДн выполняет следующую
последовательность действий:
(1) Оператор ИСПДн использует ранее проведенную оценку вреда (см. п.1.4.5 Положения).
(2) разрабатывается общая модель угроз безопасности ПДн при их обработке во всех ИСПДн,
включая модель нарушителя. После этого Оператор ИСПДн разрабатывает частную модель
угроз безопасности ПДн при их обработке в ИСПДн. По результатам формирования частной
модели угроз Оператор ИСПДн, в соответствии с ПП-1119, делает вывод о типе угроз,
актуальных для ИСПДн;
(3) исходя из типов актуальных угроз для ИСПДн и оценки вреда Оператор ИСПДн определяет
необходимый УЗ ПДн при их обработке в ИСПДн;
(4) Оператор ИСПДн определяет требования к созданию СЗПДн, опираясь на требования П-21,
выполняя поочерёдно следующие этапы:
(4.1) определяется базовый набор мер по обеспечению безопасности ПДн для установленного УЗ
ПДн в соответствии с П-21;
(4.2) базовый набор мер адаптируется с учетом структурно-функциональных характеристик
ИСПДн, ИТ, особенностей функционирования ИСПДн;
(4.3) проводится уточнение адаптированного базового набора мер с учетом не выбранных ранее
мер, по результатам которого определяются меры по обеспечению безопасности ПДн,
направленные на нейтрализацию всех актуальных угроз безопасности ПДн для конкретной
ИСПДн;
(4.4) уточненный адаптированный базовый набор мер дополняется мерами, обеспечивающими
выполнение требований к защите ПДн, установленными иными нормативными правовыми
актами в области обеспечения безопасности ПДн и защиты информации;
11
(5) адаптация базового набора мер и уточнение адаптированного базового набора мер
производится Оператором ИСПДн с учётом уровня централизации сервисов
информационного обеспечения и других особенностей информационной инфраструктуры.
При этом для отдельных выбранных мер по обеспечению безопасности ПДн техническая
реализация может быть признана невозможной, либо они могут быть признаны
экономически нецелесообразными на основании оценки потенциального вреда субъектам
ПДн при реализации угроз, исключаемых данными мерами. Вышеуказанные отдельные
меры заменяются компенсирующими мерами, направленными на нейтрализацию данных
актуальных угроз безопасности ПДн, в том числе и с использованием СЗИ, прошедших
процедуру оценки соответствия в форме, отличной от сертификации;
(6) Оператор ИСПДн самостоятельно или с привлечением третьих лиц готовит техническое
описание СЗПДн, отвечающее ранее определённым требованиям;
(7) Оператор ИСПДн осуществляет подготовительные мероприятия (в том числе, закупку СЗИ,
обучение администраторов и т.д.) и производит ввод в эксплуатацию СЗПДн.
1.6. Организация внутреннего контроля
1.6.1. В целях осуществления внутреннего контроля за соблюдением обязательных требований в сфере
обработки и защиты ПДн, а также в рамках соблюдения требований п.4 ч.1 ст.18 152-ФЗ и п.17
ПП-1119, Оператором регулярно проводятся следующие проверки:
(1) соответствия обработки ПДн в структурных подразделениях Оператора требованиям
законодательства РФ в области ПДн;
(2) актуальности и соответствия законодательству имеющихся организационно-
распорядительных документов в области обработки ПДн;
(3) актуальности перечня обрабатываемых ПДн;
(4) актуальности перечня ИСПДн;
(5) актуальности перечня лиц, участвующих в обработке ПДн;
(6) актуальности прав разграничения доступа пользователей ИСПДн, необходимых для
выполнения должностных обязанностей;
(7) актуальности предоставленной в Роскомнадзор информации об обработке ПДн;
(8) знания сотрудниками Оператора законодательства РФ в области ПДн, порядка обработки
ПДн и поддержания режима защиты ПДн;
(9) состояния технических мер по защите ПДн в соответствии с законодательством РФ в
области ПДн;
(10) состояния мер по соблюдению прав субъектов ПДн в соответствии с законодательством РФ
в области ПДн.
1.6.2. При проведении проверок применяются требования (контроли) действующего законодательства
РФ в области ПДн (см. п. 12.24. Положения).
1.6.3. План проверок разрабатывается с учетом статуса и важности проверяемых процессов,
подлежащих контролю, а также результатов предыдущих проверок. Отбор лиц, осуществляющих
проверки, и процедура проверки должны обеспечивать объективность и беспристрастность
внутреннего контроля. Проверяющие не должны проводить проверку своей собственной работы.
1.6.4. По результатам проведения каждой проверки лицом, ответственным за организацию обработки
ПДн (либо иным уполномоченным лицом) составляется акт внутренней проверки условий
обработки ПДн, а в случае выявленных нарушений – также отчет служебного разбирательства по
факту нарушения.
1.6.5. Руководитель структурного подразделения, ответственный за проверяемый участок деятельности
Оператора, должен своевременно и без задержки обеспечить проведение проверки устранения
обнаруженных несоответствий и их причин. Последующие действия должны включать в себя
проверку предпринятых действий и сообщение о результатах проверки.
1.6.6. Правила и требования, относящиеся к планированию, проведению внутреннего контроля и
сообщению о его результатах, должны быть документированы.
12
1.7. Прохождение и содержание проверок (государственного надзора)
1.7.1. Содержание мероприятий по контролю и надзору за соблюдением прав субъектов ПДн,
проводимых уполномоченными органами, а также сложившаяся судебная практика в сфере ПДн
позволяют сделать вывод о важности корректного применения нормативных требований
Оператором, а также о необходимости четкой организации взаимодействия между сотрудниками
Оператора при осуществлении проверок. Существующие нормативные правовые акты,
регламентирующие порядок осуществления контроля и надзора, устанавливают также права
проверяемых организаций и определенные ограничения для проверяющих, знание которых также
имеет немаловажное значение при подготовке к проверкам.
1.7.2. Полномочиями по обеспечению контроля и надзора за соответствием обработки ПДн
требованиям 152-ФЗ наделен Роскомнадзор, который осуществляет проверки выполнения
операторами ПДн требований законодательства РФ. В ходе проведения проверки Роскомнадзор
рассматривает документы Оператора (уведомление об обработке ПДн, письменные согласия
субъектов ПДн, документы, подтверждающие уничтожение ПДн Оператором по достижении цели
обработки и т.д.), а также осуществляет обследование ИСПДн в части, касающейся ПДн,
обрабатываемых в них.
1.7.3. Оператором устанавливается порядок действий сотрудников при получении информации о
предстоящей проверке (в зависимости от вида – плановая или внеплановая), а также при
получении запросов от Роскомнадзора и иных уполномоченных органов (ФСТЭК России, ФСБ
России и т.д.). Мониторинг информации о включении в план проверок Оператора осуществляется
лицом, ответственным за организацию обработки ПДн.
1.7.4. Правила и требования, относящиеся к порядку взаимодействия Оператора с Роскомнадзором и
иными уполномоченными органами, должны быть документированы (п. 12.25 Положения).
1.7.5. До начала проведения проверки лицо, ответственное за организацию обработки ПДн или иное
уполномоченное лицо Оператора, проводит инструктаж с сотрудниками Оператора о
предстоящем взаимодействии с проверяющими в части тех процессов обработки ПДн, в которых
они принимают участие.
1.7.6. В ходе проведения проверки лицо, ответственное за организацию обработки ПДн, или иное
уполномоченное лицо сопровождает проверяющих. В случае получения замечаний и (или)
рекомендаций Оператор инициирует их устранение и (или) выполнение до момента окончания
проверки.
1.7.7. Лицо, ответственное за организацию обработки ПДн, осуществляет контроль соответствия хода
проверки требованиям законодательства РФ, в частности:
(1) контроль представления проверяющим исключительно тех сведений и документов, которые
относятся к предмету проверки;
(2) не допускать изъятия оригиналов документов.
1.7.8. Лицо, ответственное за организацию обработки ПДн, осуществляет контроль устранения
замечаний и (или) выполнения рекомендаций, полученных от проверяющих в ходе проведения
проверки, до момента ее окончания.
1.7.9. Оператором организуется обсуждение результатов проведенной проверки с целью фиксации и
дальнейшего использования полученного опыта взаимодействия с Роскомнадзором и иными
уполномоченными органами.
1.7.10. В случае получения предписания об устранении выявленных нарушений по результатам
проведенных проверок Оператор осуществляет уведомление уполномоченного органа об
осуществлении их устранения.
1.8. Улучшение порядка управления и обеспечения обработки и защиты ПДн
1.8.1. Оператор на регулярной основе улучшает порядок управления и обеспечения обработки и защиты
ПДн с учетом регулярных изменений требований действующего законодательства РФ и
13
характеристик процессов организации обработки и обеспечения безопасности ПДн, а также по
причине выработки новых подходов и практик обработки и защиты ПДн.
1.8.2. Улучшение достигается посредством уточнения (пересмотра) Положения, использования
результатов внутреннего контроля и проверок (государственного надзора), корректирующих и
предупреждающих действий.
1.8.3. Положение пересматривается по мере необходимости, но не реже одного раза в три года с момента
проведения предыдущего пересмотра Положения. Положение заново утверждается, если по
результатам пересмотра в Положение вносятся изменения.
1.8.4. Положение может пересматриваться и заново утверждаться ранее срока, указанного в п.1.8.3
Положения, по мере внесения изменений в нормативные правовые акты в сфере ПДн.
1.8.5. Оператор проводит мероприятия по устранению причин несоответствий требованиям
действующего законодательства РФ в области ПДн и локальных актов с целью предупредить их
повторное возникновение.
1.8.6. Оператор определяет действия, необходимые для устранения причин потенциальных
несоответствий требованиям действующего законодательства РФ в области ПДн и локальных
актов Оператора, с целью предотвратить их повторное появление. Предпринимаемые
предупреждающие действия должны соответствовать размеру вреда, который может быть
причинен Оператору.
1.8.7. Состав лиц, участвующих в улучшении порядка управления и обеспечения обработки и защиты
ПДн:
(1) лицо, ответственное за организацию обработки ПДн;
(2) лицо, ответственное за обеспечение безопасности ПДн в ИСПДн, или представитель
структурного подразделения Оператора, ответственного за обеспечение безопасности ПДн
в ИСПДн;
(3) представитель юридического подразделения отдела Оператора;
(4) в некоторых ситуациях необходимо привлечение третьих лиц (сторонних организаций),
обладающих соответствующими компетенциями.
1.8.8. Квалификация и опыт лиц, участвующих в улучшении порядка управления и обеспечения
обработки и защиты ПДн, должны соответствовать поставленной перед ними задаче. Указанные
лица в своей совокупности должны:
(1) знать требования действующего законодательства РФ о ПДн;
(2) обладать как минимум базовыми знаниями в сфере управления и обеспечения
информационной безопасности;
(3) иметь достаточно длительный опыт работы в организации, являющейся Оператором.
14
2. Порядок организации обработки ПДн
2.1. Основные правила обработки ПДн
2.1.1. Утверждаются решением руководителя Оператора:
(1) перечень обрабатываемых Оператором ПДн;
(2) перечень ИСПДн Оператора.
2.1.2. Цели обработки ПДн Оператором определены в п.3.2 «Политики ЗАО «Делойт и Туш СНГ» в
отношении организации обработки и обеспечения безопасности персональных данных».
2.1.3. Обработка ПДн Оператором включает действия (операции), перечисленные в п.3.4 «Политики
ЗАО «Делойт и Туш СНГ» в отношении организации обработки и обеспечения безопасности
персональных данных», но не ограничивается ими.
2.1.4. Оператором не допускается обработка ПДн, несовместимая с целями сбора ПДн.
2.1.5. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям
обработки.
2.1.6. Оператором не допускается объединение БД, содержащих ПДн, обработка которых
осуществляется в целях, несовместимых между собой.
2.2. Порядок предоставления доступа сотрудников к ПДн
2.2.1. Доступ к ПДн имеют сотрудники Оператора, которые обязаны осуществлять их обработку в связи
с исполнением своих должностных обязанностей.
2.2.2. Перечень сотрудников (структурных подразделений и должностей) Оператора, осуществляющих
обработку ПДн, определяется Ответственным лицом и утверждается руководителем Оператора.
2.2.3. Процедура предоставления доступа сотрудника Оператора к ПДн предусматривает:
(1) ознакомление сотрудника под роспись с Положением и другими локальными актами
Оператора по вопросам обработки ПДн;
(2) фиксацию в соответствии с требованиями ч.1 ст.15 и абз.4 ч.4 ст.57 ТК РФ в трудовом
договоре с работником соответствующих положений о конфиденциальности ПДн и
безопасности ПДн при обработке (см. п.12.1 Положения), включающего положения:
(2.1.) об обеспечении конфиденциальности и безопасности ПДн, непосредственно
обрабатываемых сотрудником;
(2.2.) о прекращении обработки ПДн, ставших известными в связи с исполнением должностных
обязанностей, в случае расторжения с сотрудником трудового договора;
(3) проведение инструктажа и регистрацию факта проведения инструктажа в «Журнале учёта
проведения инструктажей сотрудников по соблюдению правил обработки и защиты ПДн»
(см. п.12.2 Положения), в ходе которого осуществляется:
(3.1) информирование работников о факте обработки ими ПДн субъектов с использованием
средств автоматизации и без использования средств автоматизации, которая
осуществляется работниками при выполнении своих должностных обязанностей;
(3.2) информирование работников о категориях, обрабатываемых ими ПДн;
(3.3) разъяснение работникам порядка организации обработки и обеспечении безопасности ПДн,
установленного действующим законодательством, нормативными правовыми актами
федеральных органов исполнительной власти, органов исполнительной власти субъектов
РФ, а также локальными нормативными актами Оператора.
2.2.4. В случае изменения организационно-штатной структуры лицо, ответственное за организацию
обработки ПДн, вносит соответствующие изменения в Перечень сотрудников (структурных
подразделений и должностей), допущенных к обработке ПДн.
2.2.5. При увольнении сотрудника, имеющего доступ к ПДн, документы и иные носители, содержащие
ПДн, передаются другому сотруднику, имеющему доступ к ПДн по указанию руководителя
увольняющегося сотрудника Оператора.
15
2.2.6. Лицо, ответственное за организацию обработки ПДн, по мере необходимости осуществляет
проверку/актуализацию Перечня сотрудников, допущенных к обработке ПДн, а также списка
пользователей ИСПДн, электронного журнала обращений пользователей ИСПДн на получение
ПДн. В случае выявления сотрудников, допущенных к обработке ПДн, которым такой доступ
больше не требуется, права доступа такого сотрудника к ПДн незамедлительно отзываются.
2.2.7. Доступ сотрудников к своим ПДн осуществляется в соответствии с положениями 152-ФЗ и
трудового законодательства.
2.3. Порядок обработки ПДн, включая сбор, хранение и уточнение ПДн
2.3.1. Обработка ПДн может осуществляться Оператором в случаях, если:
(1) обработка ПДн осуществляется с согласия субъекта на обработку его ПДн;
(2) обработка ПДн необходима для достижения целей, предусмотренных международным
договором РФ или законом, для осуществления и выполнения возложенных
законодательством РФ на оператора функций, полномочий и обязанностей;
(3) обработка ПДн необходима для осуществления правосудия, исполнения судебного акта,
акта другого органа или должностного лица, подлежащих исполнению в соответствии с
законодательством РФ об исполнительном производстве;
(4) обработка ПДн необходима для исполнения договора, стороной которого либо
выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для
заключения договора по инициативе субъекта или договора, по которому субъект ПДн
будет являться выгодоприобретателем или поручителем;
(5) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных
интересов субъекта, если получение согласия субъекта ПДн невозможно;
(6) обработка ПДн необходима для осуществления прав и законных интересов Оператора или
третьих лиц либо для достижения общественно значимых целей при условии, что при этом
не нарушаются права и свободы субъекта ПДн;
(7) обработка ПДн осуществляется в статистических или иных исследовательских целях, за
исключением целей, указанных в ст.15 152-ФЗ, при условии обязательного обезличивания
ПДн;
(8) осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен
субъектом либо по его просьбе;
(9) осуществляется обработка ПДн, подлежащих опубликованию или обязательному
раскрытию в соответствии с федеральным законом;
(10) осуществляется обработка специальных категорий ПДн, касающихся состояния здоровья, а
также биометрических ПДн в соответствии с согласием субъекта ПДн в письменной форме
на обработку своих ПДн, в силу того, что ПДн сделаны общедоступными субъектом ПДн
или при наличии иных законных оснований.
2.3.2. Сбор ПДн осуществляется Оператором в соответствии с целями обработки ПДн.
2.3.3. При сборе ПДн Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение ПДн граждан РФ с использованием БД, находящихся на
территории РФ, за исключением случаев, указанных в п.п.2, 3, 4, 8 ч.1 ст.6 152-ФЗ, а также
обеспечивает соблюдение следующих принципов:
(1) сбор Оператором ПДн граждан РФ, в том числе с территории иностранных государств,
должен вестись только в БД, находящиеся на территории РФ;
(2) передача (в т.ч. трансграничная) Оператором ПДн граждан РФ, после их сбора, в
зарубежные БД может осуществляться только при условии размещения ПДн граждан РФ в
равных или больших объеме, составе и актуальности в БД, находящихся на территории РФ;
(3) БД, являющиеся составной частью ИСПДн Оператора, должны быть размещены на
территории РФ.
16
2.3.4. Оператор сообщает субъекту о целях, способах и источниках получения его ПДн, а также о
характере подлежащих получению ПДн и возможных последствиях отказа субъекта дать
письменное согласие на их получение.
2.3.5. ПДн субъектов могут храниться Оператором на материальных носителях информации.
2.3.6. Порядок хранения ПДн определяется Оператором, и должен исключать несанкционированный
доступ третьих лиц к ПДн.
2.3.7. Материальные носители ПДн, обрабатываемых в сходных целях, могут храниться совместно.
Запрещается хранить совместно на материальных носителях ПДн, обрабатываемые в
несовместимых целях.
2.4. Порядок уничтожения ПДн
2.4.1. Сроки и условия прекращения обработки ПДн закреплены в п.3.3 «Политики ЗАО «Делойт и Туш
СНГ» в отношении организации обработки и обеспечения безопасности персональных данных».
2.4.2. При невозможности уничтожения ПДн в сроки, определенные 152-ФЗ для случаев, когда
невозможно обеспечить правомерность обработки ПДн, при достижении целей обработки ПДн, а
также при отзыве субъектом согласия на обработку ПДн, если сохранение ПДн более не требуется
для целей обработки ПДн, Оператор осуществляет блокирование ПДн и уничтожает ПДн в
течение 6 месяцев, если иной срок не установлен законодательством РФ или иными локально-
нормативными актами Оператора.
2.4.3. Уничтожение ПДн должно производиться способом, исключающим возможность восстановления
этих ПДн. Уничтожение носителей ПДн должно производиться комиссией состоящей из не менее
трех представителей соответствующего структурного подразделения Оператора. Факт
уничтожения носителя ПДн подтверждается «Актом об уничтожении ПДн» (см. п.12.8
Положения).
2.4.4. Уничтожение ПДн в ИСПДн и на машинных (материальных) носителей ПДн осуществляется с
помощью штатных средств.
2.4.5. Уничтожение бумажных носителей ПДн осуществляется в установленном Оператором порядке
после передачи в архив и (или) истечении сроков хранения.
2.4.6. Уничтожение ПДн третьим лицом, обрабатывающим ПДн по поручению Оператора,
осуществляется в порядке, установленном договором между Оператором и третьим лицом.
17
3. Порядок обеспечения безопасности ПДн при их обработке в ИСПДн
3.1. Возложение ответственности за обеспечение безопасности ПДн
3.1.1. Для каждой из ИСПДн, в отношении которой установлена необходимость обеспечения 1-го УЗ
ПДн, руководителем Оператора ИСПДн формируется или назначается структурное
подразделение, ответственное за обеспечение безопасности ПДн при их обработке в ИСПДн. При
этом структурное подразделение может являться ответственным за обеспечение безопасности
ПДн при их обработке в нескольких ИСПДн.
3.1.2. Для каждой из ИСПДн, в отношении которой установлена необходимость обеспечения 2-го или
3-го УЗ ПДн, руководителем Оператора ИСПДн назначается должностное лицо, ответственное за
обеспечение безопасности ПДн при их обработке в данной ИСПДн. При этом одно должностное
лицо может являться ответственным за обеспечение безопасности ПДн при их обработке в
нескольких ИСПДн.
3.1.3. Оператор ИСПДн определяет и внедряет организационные и технические мероприятия,
необходимые и достаточные в соответствии с требованиями действующего законодательства РФ
для обеспечения безопасности ПДн при их обработке в ИСПДн.
3.2. Основные мероприятия по обеспечению безопасности ПДн при их обработке в
ИСПДн
3.2.1. Оператор ИСПДн самостоятельно или с привлечением внешней организации, обладающей
лицензией на деятельность по ТЗКИ, определяет перечень актуальных угроз безопасности ПДн
при их обработке в каждой из ИСПДн.
3.2.2. Оператор ИСПДн самостоятельно или с привлечением внешней организации, обладающей
лицензией на деятельность по ТЗКИ, определяет необходимый УЗ ПДн при их обработке в каждой
из ИСПДн, оператором которой он является.
3.2.3. Оператор ИСПДн самостоятельно или с привлечением организации, обладающей лицензиями на
деятельность по ТЗКИ и на деятельность по выполнению работ и оказанию услуг в области
шифрования информации, создаёт систему защиты ПДн, включающую в себя организационные и
(или) технические меры, определенные с учетом актуальных угроз безопасности ПДн и ИТ,
используемых в ИС.
3.2.4. Оператор ИСПДн обеспечивает выполнение следующих основных мероприятий:
(1) организация режима обеспечения безопасности помещений, в которых размещены ИСПДн,
препятствующего возможности неконтролируемого проникновения или пребывания в этих
помещениях лиц, не имеющих права доступа в эти помещения;
(2) обеспечение сохранности носителей ПДн;
(3) актуализация утвержденного руководителем Оператора ИСПДн документа, определяющего
перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для
выполнения ими служебных (трудовых) обязанностей;
(4) использование СЗИ, прошедших процедуру оценки соответствия требованиям
законодательства РФ в области обеспечения безопасности информации, в случае, когда
применение таких средств необходимо для нейтрализации актуальных угроз, при этом
сертификаты на СЗИ должны быть действительными;
(5) формирование или назначение структурного подразделения, ответственного за обеспечение
безопасности ПДн при их обработке в ИСПДн (для ИСПДн, в отношении которых
установлена необходимость обеспечения 1-го УЗ);
(6) назначение лица, ответственного за обеспечение безопасности ПДн в ИСПДн (для ИСПДн,
в отношении которых установлена необходимость обеспечения 2-го и 3-го УЗ);
(7) ограничение доступа к содержанию электронного журнала сообщений: доступ должен быть
возможен исключительно для должностных лиц (сотрудников) Оператора ИСПДн или
уполномоченного им лица, которым сведения, содержащиеся в указанном журнале,
18
необходимы для выполнения служебных (трудовых) обязанностей (для ИСПДн, в
отношении которых установлена необходимость обеспечения 2-го УЗ);
(8) автоматическая регистрация в электронном журнале безопасности изменения полномочий
сотрудника Оператора ИСПДн по доступу к ПДн, содержащимся в ИСПДн (для ИСПДн, в
отношении которых установлена необходимость обеспечения 1-го УЗ).
3.2.5. Лицо, ответственное за организацию обработки ПДн, получив информацию о факте нарушения
действующих законодательных норм по обеспечению безопасности ПДн в ИСПДн Оператора,
организует служебное расследование для выявления лиц, в результате действий или бездействия
которых произошло нарушение законодательных норм по обеспечению безопасности ПДн. К
такому расследованию могут привлекаться внешние организации, которые осуществляют доступ
в ИСПДн.
3.2.6. Лицо, ответственное за обеспечение безопасности ПДн в ИСПДн, обладает следующими правами:
(1) требовать от обеспечивающих ИБ и применение ИТ сотрудников Оператора выполнения
следующих действий, предусмотренных законодательством РФ, а также локальными
актами Оператора;
(2) вносить предложения руководителю Оператора:
(2.1) о внесении изменений в технологические процессы, связанные с обработкой ПДн, а
также в ИСПДн, если это обусловлено необходимостью обеспечения безопасности ПДн в
соответствии с требованиями законодательства РФ;
(2.2) о необходимости проведения организационных и технических мероприятий с целью
обеспечения безопасности ПДн в соответствии с требованиями законодательства РФ;
(2.3) о поощрении или привлечении к ответственности сотрудников Оператора в связи с
исполнением ими обязанностей, связанных с обработкой ПДн;
(2.4) о привлечении организации, обладающей лицензией ФСТЭК России, на осуществление
деятельности по технической защите конфиденциальной информации, для разработки
частных моделей угроз и нарушителя, а также для проведения организационных и
технических мероприятий по обеспечению безопасности ПДн.
3.2.7. Лицо, ответственное за обеспечение безопасности ПДн в ИСПДн, обязано обеспечить:
(1) разработку Модели угроз ИБ ПДн при их обработке в ИСПДн;
(2) разработку частных моделей угроз ИБ ПДн при их обработке в ИСПДн на основании
Модели угроз ИБ ПДн при их обработке в ИСПДн;
(3) определение типа актуальных угроз ИБ ПДн для каждой ИСПДн;
(4) определение необходимого УЗ ПДн при их обработке в ИСПДн;
(5) определение требований к созданию СЗПДн для ИСПДн;
(6) выбор СЗИ для СЗПДн в соответствии с П-21;
(7) техно-рабочее проектирование СЗПДн;
(8) создание и ввод в эксплуатацию СЗПДн;
(9) контроль выполнения мероприятий, предусмотренных в п.3.2.4 настоящего Положения.
19
4. Лицо, ответственное за организацию обработки ПДн
4.1. Статус лица, ответственного за организацию обработки ПДн
4.1.1. Оператор назначает лицо, ответственное за организацию обработки ПДн, которое при
осуществлении своих функций руководствуется Положением, «Политикой ЗАО «Делойт и Туш
СНГ» в отношении организации обработки и обеспечения безопасности персональных данных»,
иным локальными актами Оператора в сфере организации обработки и обеспечения безопасности
ПДн, а также требованиями действующего законодательства РФ о ПДн.
4.1.2. Решения об инициации Оператором новых процессов обработки ПДн или о внесении изменений
в существующие процессы обработки ПДн согласовываются с лицом, ответственным за
организацию обработки ПДн.
4.2. Функции лица, ответственного за организацию обработки ПДн
4.2.1. Лицо, ответственное за организацию обработки ПДн, осуществляет следующие функции:
(1) осуществление внутреннего контроля над соблюдением Оператором и его сотрудниками
законодательства РФ о ПДн, в том числе требований к защите ПДн;
(2) подготовка перечня структурных подразделений и должностных лиц Оператора,
допущенных к обработке ПДн, в том числе в ИСПДн, для выполнения служебных
(трудовых) обязанностей;
(3) ознакомление сотрудников Оператора, непосредственно осуществляющих обработку ПДн,
с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн,
документами, определяющими политику Оператора в отношении обработки ПДн,
локальными актами Оператора по вопросам обработки и защиты ПДн, и обучение
указанных сотрудников;
(4) принятие и обработка обращений и запросов субъектов ПДн или их представителей и (или)
осуществление контроля над приемом и обработкой таких обращений и запросов;
(5) оценка соответствия содержания и объема обрабатываемых Оператором ПДн целям
обработки ПДн;
(6) разработка документов, определяющих политику Оператора в отношении обработки ПДн,
локальных актов Оператора по вопросам обработки ПДн, а также локальных актов,
устанавливающих процедуры, направленные на предотвращение и выявление нарушений
законодательства РФ о ПДн, а также устранение последствий таких нарушений;
(7) проведение мероприятий по внутреннему контролю и (или) аудиту соответствия обработки
ПДн требованиям 152-ФЗ и принятым в соответствии с ним нормативным правовым актам,
требованиям к защите ПДн, политикой Оператора в отношении обработки ПДн, локальным
актам Оператора;
(8) оценка вреда, который может быть причинен субъектам ПДн в случае нарушения
требований 152-ФЗ, соотношение указанного вреда и принимаемых Оператором мер,
направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ;
(9) установление правил доступа сотрудников Оператора к ПДн, обрабатываемым в ИСПДн;
(10) осуществление взаимодействия от имени Оператора с Роскомнадзором и иными
уполномоченными органами в случаях, предусмотренных законодательством РФ о ПДн;
(11) своевременное формирование и направление в Роскомнадзор уведомления об обработке
Оператором (о намерении Оператора осуществлять обработку) ПДн;
(12) своевременное формирование и направление в Роскомнадзор информационного письма о
внесении изменений в сведения в реестре операторов, осуществляющих обработку ПДн;
(13) осуществление регулярного мониторинга фактов включения Оператора в ежегодный
сводный план проведения плановых проверок субъектов предпринимательства на предмет
соблюдения обязательных требований в сфере обработки ПДн;
20
(14) организация работы по получению согласия субъектов ПДн на обработку их ПДн в случаях,
предусмотренных законодательством РФ о ПДн;
(15) ведение перечня ИСПДн (включая БД с ПДн);
(16) осуществление экспертизы локальных актов Оператора и договоров Оператора с третьими
лицами на предмет их соответствия требованиям законодательством РФ о ПДн.
4.3. Полномочия лица, ответственного за организацию обработки ПДн
4.3.1. Лицо, ответственное за организацию обработки ПДн, обладает следующими полномочиями:
(1) требовать от сотрудников Оператора выполнения требований локальных актов Оператора
по вопросам обработки и защиты ПДн, а также законодательства РФ о ПДн;
(2) запрашивать и получать от сотрудников Оператора информацию для исполнения своих прав
и обязанностей, приведенных в Положении;
(3) вносить предложения руководителю Оператора о внесении изменений в процессы
обработки ПДн и технологические процессы, связанные с обработкой ПДн в ИСПДн, если
это обусловлено необходимостью обеспечения соответствия законодательству РФ о ПДн;
(4) вносить предложения руководителю Оператора о поощрении или наложении взысканий на
сотрудников Оператора в связи с исполнением ими обязанностей, связанных с обработкой
и защитой ПДн.
4.4. Ответственность лица, ответственного за организацию обработки ПДн
4.4.1. Лицо, ответственное за организацию обработки ПДн, несет следующую ответственность:
(1) за ненадлежащее исполнение или неисполнение своих должностных обязанностей,
предусмотренных Положением, в пределах, определенных действующим трудовым
законодательством РФ;
(2) за правонарушения, совершенные в процессе осуществления своей деятельности в
пределах, определенных действующим административным, уголовным и гражданским
законодательством РФ;
(3) за причинение материального ущерба и морального вреда в пределах, определенных
действующим трудовым и гражданским законодательством РФ.
21
5. Порядок взаимодействия с субъектами ПДн или их представителями
5.1. Основные правила взаимодействия с субъектами ПДн
5.1.1. Ответственным сотрудником Оператора за взаимодействие с субъектами ПДн назначается лицо,
ответственное за организацию обработки ПДн.
5.1.2. Субъекты, ПДн которых обрабатываются Оператором, имеют право:
(1) получать доступ к своим ПДн;
(2) требовать от Оператора уточнения своих ПДн, их блокирования или уничтожения в случае,
если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не
являются необходимыми для заявленной цели обработки;
(3) получать от Оператора следующую информацию:
(3.1) подтверждение факта обработки ПДн Оператором;
(3.2) правовые основания обработки ПДн Оператором;
(3.3) цели и применяемые Оператором способы обработки ПДн;
(3.4) наименование и место нахождения Оператора, сведения о лицах (за исключением
сотрудников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты
ПДн на основании договора с Оператором или на основании федерального закона;
(3.5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их
получения, если иной порядок представления таких данных не предусмотрен федеральным
законом;
(3.6) сроки обработки ПДн, в том числе сроки их хранения;
(3.7) порядок осуществления субъектом ПДн своих прав, предусмотренных 152-ФЗ;
(3.8) информацию об осуществленной, осуществляемой или о планируемой к
осуществлению трансграничной ПДн;
(3.9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку
ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу.
(4) возражать Оператору относительно принятия на основании исключительно
автоматизированной обработки ПДн решений, порождающих юридические последствия в
отношении субъектов ПДн или иным образом затрагивающих их права и законные
интересы;
(5) отозвать согласие на обработку ПДн Оператором;
(6) обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или
бездействия Оператора при обработке и защите его ПДн.
5.1.3. Субъекты, ПДн которых обрабатываются Оператором, обязаны предоставлять Оператору
достоверные сведения о себе и своевременно информировать об изменении своих ПДн. Оператор
имеет право проверять достоверность сведений, предоставленных субъектом, сверяя данные,
предоставленные субъектом, с имеющимися у Оператора документами.
5.1.4. Согласие на обработку ПДн Оператором дается субъектом или его представителем в любой
позволяющей подтвердить факт его получения форме, если иное не установлено федеральным
законом.
5.1.5. В случае отзыва субъектом согласия на обработку своих ПДн Оператор вправе продолжить
обработку ПДн без согласия субъекта ПДн при наличии одного или нескольких условий,
указанных в пп.2-10 п.2.3.1 Положения.
5.1.6. Выдача сотрудникам Оператора документов, связанных с их трудовой деятельностью (копий
приказов о приеме на работу, переводах на другую работу, увольнении с работы; выписок из
трудовой книжки, справок о месте работы, заработной плате, периоде работы в организации и др.),
производится соответствующим уполномоченным сотрудником Оператора в порядке,
установленном законодательством РФ.
5.1.7. Устные запросы субъекта ПДн или его представителя, поступающие Оператору, фиксируются
сотрудниками Оператора в «Журнале учета обращений субъектов ПДн или их представителей»
22
(см. п.12.4 Положения) или в иных документах Оператора, обеспечивающих надлежащую
фиксацию запросов субъекта ПДн или его представителя.
5.1.8. В случае поступления запроса от субъекта ПДн или его представителя в письменной форме о
предоставлении сведений, указанных в пп.3 п.5.1.2 Положения, лицо, ответственное за
организацию обработки ПДн или иной уполномоченный сотрудник Оператора, подготавливает
согласно запросу субъекта или его представителя необходимый ответ в письменной форме. В
случае требования предоставления иных, непредусмотренных законодательством сведений, лицо,
ответственное за организацию обработки ПДн, подготавливает мотивированный ответ в
письменной форме, содержащий ссылку на положение ч.8 ст.14 152-ФЗ или иного федерального
закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня
обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта ПДн или
его представителя.
5.1.9. Документы, содержащие ПДн субъекта, могут быть отправлены через организацию федеральной
почтовой связи, курьерской почтой или нарочным. При этом сотрудниками Оператора должны
быть предприняты разумные и достаточные меры для обеспечения конфиденциальности ПДн.
5.1.10. Лицо, ответственное за организацию обработки ПДн, обязано организовать текущее хранение
нижеуказанных документов в течение пяти лет, а по истечении указанного срока – обеспечить
передачу следующих документов на архивное хранение:
(1) запросы субъекта ПДн или его представителя;
(2) копии документов, являющихся основанием для уточнения или отказа в уточнении
обрабатываемых ПДн;
(3) копии документов, являющихся основанием для прекращения неправомерной обработки
ПДн или отказа в прекращении обработки ПДн;
(4) копии документов, являющихся основанием для отказа в прекращении обработки ПДн;
(5) уведомления субъекта ПДн или его представителя об уточнении или об отказе уточнения
обрабатываемых ПДн;
(6) уведомления субъекта ПДн или его представителя о прекращении неправомерной
обработки ПДн или отказе в прекращении обработки ПДн;
(7) уведомления субъекта ПДн или его представителя о прекращении обработки ПДн или
отказе в прекращении обработки ПДн;
(8) иные документы и копии иных документов, непосредственно связанные с выполнением
Оператором своих обязанностей по рассмотрению запросов субъекта ПДн или его
представителя.
5.2. Обработка запросов об уточнении неполных, устаревших, неточных ПДн
5.2.1. В случае запроса субъекта ПДн или его представителя об уточнении Оператором (или лицом,
действующим по поручению Оператора) обработки неполных, устаревших, неточных ПДн лицо,
ответственное за организацию обработки ПДн, или иной уполномоченный сотрудник Оператора
обязаны:
(1) зафиксировать наличие запроса субъекта ПДн или его представителя об уточнении
обработки неполных, устаревших, неточных ПДн в «Журнале учета обращений субъектов
персональных данных или их представителей» (см. п.12.4 Положения) или в иных
документах Оператора, обеспечивающих надлежащую фиксацию запросов субъекта ПДн
или его представителя;
(2) осуществить блокирование указанных ПДн с момента получения запроса на период
проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн
или третьих лиц;
(3) осуществить проверку фактов, изложенных в запросе, и подтверждающих факты
документов, предоставляемых субъектом ПДн или его представителем. По результатам
проверки должно быть получено подтверждение или не подтверждение фактов,
изложенных в запросе.
23
5.2.2. В случае подтверждения фактов, изложенных в запросе, лицо, ответственное за организацию
обработки ПДн, или иной уполномоченный сотрудник Оператора обязаны:
(1) произвести/обеспечить уточнение указанных ПДн на основании представленных сведений
в течение семи рабочих дней со дня представления таких сведений;
(2) осуществить снятие блокирования указанных ПДн;
(3) в письменной форме уведомить субъекта ПДн или его представителя об устранении
допущенных нарушений.
5.2.3. В случае не подтверждения фактов, изложенных в запросе, лицо, ответственное за организацию
обработки ПДн, или иной уполномоченный сотрудник Оператора обязаны:
(1) осуществить снятие блокирования указанных ПДн;
(2) в письменной форме уведомить субъекта ПДн или его представителя об отказе в уточнении
ПДн.
5.3. Обработка запросов о прекращении неправомерной обработки ПДн
5.3.1. В случае запроса субъекта ПДн или его представителя о прекращении неправомерной обработки
Оператором (или лицом, действующим по поручению Оператором) ПДн лицо, ответственное за
организацию обработки ПДн, или иной уполномоченный сотрудник Оператора обязаны:
(1) зафиксировать наличие запроса субъекта ПДн или его представителя о прекращении
неправомерной обработки ПДн в «Журнале учета обращений субъектов персональных
данных или их представителей» (см. п.12.4 Положения) или иным образом (с
использованием соответствующих ИСПДн или специализированных документов
Оператора), обеспечивающим надлежащую фиксацию запросов субъекта ПДн или его
представителя;
(2) осуществить блокирование указанных ПДн с момента получения запроса на период
проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн
или третьих лиц;
(3) осуществить проверку фактов, изложенных в запросе, и подтверждающих факты
документов, предоставляемых субъектом ПДн или его представителем. По результатам
проверки должно быть получено подтверждение или не подтверждение фактов,
изложенных в запросе.
5.3.2. В случае подтверждения факта неправомерной обработки ПДн лицо, ответственное за
организацию обработки ПДн, или иной уполномоченный сотрудник Оператора обязаны:
(1) произвести/обеспечить прекращение неправомерной обработки ПДн в срок, не
превышающий трех рабочих дней со дня выявления неправомерной обработки ПДн;
(2) если обеспечить правомерность обработки ПДн невозможно, то уничтожить такие ПДн или
обеспечить их уничтожение в срок, не превышающий десяти рабочих дней со дня выявления
неправомерной обработки ПДн;
(3) в письменной форме уведомить субъекта ПДн или его представителя о прекращении
неправомерной обработки ПДн.
5.3.3. В случае не подтверждения факта неправомерной обработки ПДн лицо, ответственное за
организацию обработки ПДн, или иной уполномоченный сотрудник Оператора обязаны:
(1) осуществить снятие блокирования указанных ПДн;
(2) в письменной форме уведомить субъекта ПДн или его представителя об отказе в
прекращении обработки ПДн.
5.4. Обработка отзывов согласий на обработку ПДн
5.4.1. В случае отзыва субъектом ПДн или его представителем согласия на обработку его ПДн
Оператором (или лицом, действующим по поручению Оператора) лицо, ответственное за
организацию обработки ПДн, или иной уполномоченный сотрудник Оператора обязаны
зафиксировать наличие отзыва субъектом ПДн или его представителем согласия на обработку
24
ПДн в «Журнале учета обращений субъектов персональных данных или их представителей» (см.
п.12.4 Положения) или в иных документах Оператора, обеспечивающих надлежащую фиксацию
запросов субъекта ПДн или его представителя.
5.4.2. Если обработка ПДн осуществляется при выполнении условия, указанного в пп.1
п.2.3.1Положения, лицо, ответственное за организацию обработки ПДн, или иной
уполномоченный сотрудник Оператора обязаны:
(1) уведомить субъекта ПДн или его представителя о последствиях отзыва им согласия (см.
п.12.11 Положения);
(2) организовать уничтожение ПДн или обеспечить их уничтожение (если обработка ПДн
осуществляется другим лицом, действующим по поручению Оператора) в срок, не
превышающий тридцати дней со дня поступления указанного отзыва, если иное не
предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по
которому является субъект ПДн, иным соглашением между Оператором и субъектом;
(3) в письменной форме уведомить субъекта ПДн или его представителя о прекращении
Оператором обработки ПДн субъекта.
5.4.3. Если обработка ПДн осуществляется при выполнении условий, указанных в пп.2-10 п.2.3.1
Положения, лицо, ответственное за организацию обработки ПДн, или иной уполномоченный
сотрудник Оператора обязаны в письменной форме (содержащий ссылку на положения ч.2 ст.9
152-ФЗ или иного федерального закона, являющееся основанием для такого отказа) уведомить
субъекта ПДн или его представителя об отказе в прекращении обработки ПДн.
5.5. Предоставление ПДн субъектов их представителям, членам их семей и
родственникам
5.5.1. Представителю субъекта (в том числе адвокату) передача ПДн производится в порядке,
установленном действующим законодательством РФ. Информация передается при наличии
одного из документов:
(1) нотариально удостоверенной доверенности представителя субъекта ПДн;
(2) письменного заявления субъекта ПДн, написанного в присутствии лица, ответственного за
организацию обработки ПДн, или иного уполномоченного сотрудника Оператора. Если
заявление написано субъектом ПДн не в присутствии указанных лиц, то оно должно быть
нотариально заверено.
5.5.2. ПДн субъекта могут быть предоставлены родственникам или членам его семьи только с
письменного разрешения самого субъекта, за исключением случаев, когда передача ПДн субъекта
без его согласия допускается действующим законодательством РФ.
25
6. Порядок обмена информацией, содержащей ПДн, с третьим лицами и
неопределенным кругом лиц
6.1. Получение ПДн
6.1.1. ПДн могут быть получены Оператором от лица, не являющегося субъектом ПДн, при условии
предоставления Оператору подтверждения выполнения условий, указанных в п.2.3.1 Положения.
6.2. Раскрытие ПДн
6.2.1. Раскрытие ПДн неопределенному кругу лиц осуществляется с согласия субъекта ПДн в
письменной форме.
6.2.2. Раскрытие ПДн определенному лицу или определенному кругу лиц осуществляется с согласия
субъекта ПДн в письменной форме, которое оформляется по установленной форме и должно
включать в себя:
(1) фамилию, имя, отчество, адрес субъекта, номер основного документа, удостоверяющего его
личность, сведения о дате выдачи указанного документа и выдавшем его органе;
(2) наименование и адрес организации (третьего лица), получающей ПДн субъекта;
(3) цель передачи ПДн;
(4) перечень ПДн, на передачу которых дает согласие субъект;
(5) срок, в течение которого действует согласие, а также порядок его отзыва;
(6) подпись субъекта ПДн.
6.3. Передача ПДн
6.3.1. Согласия субъекта на передачу его ПДн третьим лицам не требуется:
(1) в целях предупреждения угрозы жизни и здоровью субъекта ПДн;
(2) когда согласие субъекта на обработку (в том числе передачу) его ПДн третьими лицами
получено от него в письменном виде при заключении договора с Оператором;
(3) когда третьи лица оказывают услуги Оператору на основании заключенных договоров, а
передача ПДн необходима для исполнения договора, стороной которого, либо
выгодоприобретателем или поручителем, по которому является субъект ПДн;
(4) в иных случаях, установленных действующим законодательством РФ.
6.3.2. ПДн субъекта могут быть предоставлены родственникам или членам его семьи только с
письменного согласия самого субъекта, за исключением случаев, когда передача ПДн субъекта
без его согласия допускается действующим законодательством РФ либо договором,
регламентирующим правоотношения Оператора с субъектом.
6.3.3. Ответы на запросы третьих лиц (в том числе, юридических лиц) в пределах их компетенции и
предоставленных полномочий даются в том объеме, который позволяет не разглашать излишний
объем ПДн о субъектах.
6.4. Трансграничная передача ПДн
6.4.1. До начала осуществления трансграничной передачи ПДн необходимо убедиться в том, что
иностранным государством, на территорию которого осуществляется передача ПДн,
обеспечивается адекватная защита прав субъектов ПДн. Адекватная защита прав субъектов ПДн
обеспечивается:
(1) иностранными государствами, являющимися сторонами Конвенции Совета Европы о
защите физических лиц при автоматизированной обработке ПДн;
(2) иностранными государствами, включенными в перечень иностранных государств, не
являющихся сторонами Конвенции Совета Европы о защите физических лиц при
автоматизированной обработке ПДн и обеспечивающих адекватную защиту прав субъектов
ПДн (см. П-274).
26
6.4.2. Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих
адекватной защиты прав субъектов ПДн, может осуществляться:
(1) при наличии согласия в письменной форме субъекта ПДн на трансграничную передачу его
ПДн;
(2) в случаях, предусмотренных международными договорами РФ;
(3) в случаях, предусмотренных федеральными законами, если это необходимо в целях защиты
основ конституционного строя РФ, обеспечения обороны страны и безопасности
государства, а также обеспечения безопасности устойчивого и безопасного
функционирования транспортного комплекса, защиты интересов личности, общества и
государства в сфере транспортного комплекса от актов незаконного вмешательства;
(4) при исполнении договора, стороной которого является субъект ПДн;
(5) для защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других
лиц при невозможности получения согласия в письменной форме субъекта ПДн.
27
7. Порядок обработки и защиты ПДн, обрабатываемых без использования
средств автоматизации
7.1. Обработка ПДн без использования средств автоматизации
7.1.1. Обработка ПДн без использования средств автоматизации может осуществляться в рамках
ИСПДн и материальных носителей ПДн (бумажных носителей информации и отчуждаемых
машинных носителей информации).
7.1.2. При обработке различных категорий ПДн без использования средств автоматизации должен
использоваться отдельный материальный носитель для каждой категории ПДн.
7.1.3. При обработке ПДн с помощью бумажных носителей информации:
(1) не допускается фиксация на одном бумажном носителе ПДн, цели обработки которых
заведомо несовместимы;
(2) ПДн должны обособляться от иной информации, в частности путем фиксации их на
отдельных бумажных носителях информации, в специальных разделах или на полях форм
(бланков);
(3) документы, содержащие ПДн, формируются в дела в зависимости от цели обработки ПДн;
7.1.4. При использовании типовых форм документов, характер информации в которых предполагает или
допускает включение в них ПДн (далее – типовые формы), должны соблюдаться следующие
условия:
(1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки,
реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки
ПДн, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта ПДн,
источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут
совершаться в процессе их обработки, общее описание используемых оператором способов
обработки ПДн;
(2) типовая форма должна предусматривать поле, в котором субъект ПДн может поставить
отметку о своем согласии на неавтоматизированную обработку ПДн, – при необходимости
получения письменного согласия на обработку ПДн;
(3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн,
содержащихся в документе, имел возможность ознакомиться со своими ПДн,
содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
(4) типовая форма должна исключать объединение полей, предназначенных для внесения ПДн,
цели обработки которых заведомо не совместимы.
7.1.5. Учет выдачи временных пропусков посетителям ЗАО «Делойт и Туш СНГ» осуществляется с
использованием «Журнала учета выдачи временных пропусков» (см. п. Error! Reference source
not found. Положения). При ведение журнала должны соблюдаться следующие условия:
(1) цель обработки персональных данных при ведении журнала: учет выдачи временных
пропусков посетителям ЗАО «Делойт и Туш СНГ». Организация пропускного режима, в
том числе, выдача временных пропусков посетителям, осуществляется с целью обеспечения
личной безопасности и защиты жизни, здоровья сотрудников и иных лиц, посещающих
объекты недвижимости (помещения, здания, территорию) ЗАО «Делойт и Туш СНГ», а
также обеспечение сохранности материальных и иных ценностей, находящихся в ведении
ЗАО «Делойт и Туш СНГ»;
(2) в журнал учета однократных пропусков в письменной форме заносятся следующие ПДн
субъектов:
(2.1) фамилия, имя и отчество посетителя;
(2.2) дата и время получения временного пропуска;
(2.3) номер временного пропуска;
(2.4) подпись получателя пропуска;
28
(2.5) дата и время возврата временного пропуска;
(2.6) дата окончания визита.
(3) ответственным за ведение и сохранность журнала является руководитель отдела внутренней
безопасности;
(4) срок хранения журнала – 1 год;
(5) копирование содержащейся в журнале информации не допускается;
7.1.6. При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе
информации, если материальный носитель информации не позволяет осуществлять обработку
ПДн отдельно от других зафиксированных на том же носителе ПДн, принимаются меры по
обеспечению раздельной обработки ПДн, в частности:
(1) при необходимости использования или распространения определенных ПДн отдельно от
находящихся на том же материальном носителе информации других ПДн осуществляется
копирование ПДн, подлежащих распространению или использованию, способом,
исключающим одновременное копирование ПДн, не подлежащих распространению и
использованию, и используется (распространяется) копия ПДн;
(2) при необходимости уничтожения или блокирования части ПДн уничтожается или
блокируется материальный носитель информации с предварительным копированием
сведений, не подлежащих уничтожению или блокированию, способом, исключающим
одновременное копирование ПДн, подлежащих уничтожению или блокированию.
7.1.7. Уничтожение или обезличивание части ПДн, если это допускается материальным носителем
информации, может производиться способом, исключающим дальнейшую обработку этих ПДн с
сохранением возможности обработки иных данных, зафиксированных на материальном носителе
(удаление, вымарывание).
7.1.8. Уточнение ПДн при осуществлении их обработки без использования средств автоматизации
производится путем обновления или изменения данных на материальном носителе, а если это не
допускается техническими особенностями материального носителя, - путем фиксации на том же
материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового
материального носителя с уточненными персональными данными.
7.2. Меры по обеспечению безопасности ПДн при их обработке, осуществляемой без
использования средств автоматизации
7.2.1. Руководителями структурных подразделений Оператора, в которых осуществляется обработка
ПДн без использования средств автоматизации, обеспечивается сбор и дальнейшая актуализация
сведений об отчуждаемых машинных носителях ПДн, АРМ, используемых для обработки ПДн, и
систематизированных собраниях бумажных носителей ПДн, используемых в рамках
подчиненных им структурных подразделений. Указанные сведения предоставляются лицу,
ответственному за организацию обработки ПДн.
7.2.2. Лицо, ответственное за организацию обработки ПДн, или иное уполномоченное лицо
осуществляет учет материальных носителей ПДн, путем внесения сведений, предоставленных ему
согласно требованию Положения, в соответствующие журналы:
(1) «Журнал учета отчуждаемых машинных носителей ПДн» (см. п. 12.3.1 Положения);
(2) «Журнал учета АРМ, используемых для обработки ПДн» (см. п. 12.3.2 Положения);
(3) «Журнал учета систематизированных собраний бумажных носителей ПДн» (см. п. 12.3.3
Положения).
7.2.3. Повседневное ведение журналов, указанных в п. 7.2.2 Положения, осуществляется в электронном
виде. Лицо, ответственное за организацию обработки ПДн, организует предоставление
Оператором сведений, содержащихся в соответствующих журналах, в юридически значимой
форме (на бумажном носителе или в виде электронного документа) при возникновении такой
необходимости.
29
7.2.4. Материальные носители информации, содержащие ПДн, обработка которых осуществляется в
различных целях, должны храниться раздельно (в отдельных шкафах, сейфах или на отдельных
полках).
7.2.5. При обработке ПДн с помощью материальных носителей информации принимаются
организационные (в том числе, охрана соответствующих помещений) и технические меры (в том
числе, установка СЗИ, прошедших процедуру оценки соответствия), исключающие возможность
несанкционированного доступа к ПДн лиц, не допущенных к их обработке.
30
8. Порядок доступа сотрудников в помещения, в которых ведется
обработка ПДн
8.1. Доступ в помещения, где осуществляется обработка ПДн
8.1.1. Обеспечение безопасности ПДн от уничтожения, изменения, блокирования, копирования,
предоставления, распространения ПДн, а также от иных неправомерных действий в отношении
ПДн достигается, в том числе, установлением правил доступа в помещения, в которых ведется
обработка ПДн, как с использованием средств автоматизации, так и без использования средств
автоматизации.
8.1.2. Размещение ИСПДн осуществляется в охраняемых помещениях. Для помещений организуется
режим обеспечения безопасности, при котором обеспечивается сохранность носителей ПДн и
СЗИ, а также исключается возможность неконтролируемого проникновения и пребывания в этих
помещениях посторонних лиц.
8.1.3. При хранении материальных носителей ПДн в помещениях должны соблюдаться условия,
обеспечивающие сохранность ПДн и исключающие несанкционированный доступ к ним.
8.1.4. В помещения, где размещены технические средства, позволяющие осуществлять обработку ПДн,
а также хранятся носители информации, допускаются только сотрудники Оператора,
уполномоченные осуществлять обработку ПДн.
8.1.5. Ответственными за организацию доступа в помещения являются начальники структурных
подразделений или должностные лица Оператора, использующие помещения.
8.1.6. Внутренний контроль над соблюдением порядка доступа в помещения, проводится лицом,
ответственным за организацию обработки ПДн.
8.1.7. Нахождения лиц, не уполномоченных осуществлять обработку ПДн, в помещениях возможно
только в сопровождении сотрудников вышеуказанных структурных подразделений или
должностных лиц Оператора на время, ограниченное служебной необходимостью.
8.1.8. При обнаружении признаков, указывающих на возможное несанкционированное проникновение
в помещения посторонних лиц, о случившемся должно быть немедленно сообщено лицу,
ответственному за организацию доступа в помещение, и руководителю отдела внутренней
безопасности.
8.2. Доступ в помещения, где размещены СКЗИ и носители информации СКЗИ
8.2.1. Помещения, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой,
аутентифицирующей и парольной информации СКЗИ, выделяют с учётом размеров
контролируемых зон, регламентированных эксплуатационной и технической документацией к
СКЗИ.
8.2.2. Размещение, специальное оборудование, охрана и организация режима доступа в помещения
должны исключить возможность неконтролируемого проникновения или пребывания в них
посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.
8.2.3. Для хранения носителей ключевой, аутентифицирующей и парольной информации СКЗИ должно
быть предусмотрено необходимое число надёжных металлических хранилищ.
8.2.4. При обнаружении признаков, указывающих на возможное несанкционированное проникновение
в помещения или хранилища посторонних лиц, о случившемся должно быть немедленно
сообщено лицу, ответственному за обеспечение безопасности ПДн при их обработке в ИСПДн,
которое должно оценить возможность компрометации хранящихся носителей ключевой,
аутентифицирующей, парольной информации СКЗИ и иной информации, составить акт и принять,
при необходимости, меры к локализации последствий компрометации указанной информации и к
замене скомпрометированных криптоключей.
8.2.5. Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в
помещениях должны свести к минимуму возможность неконтролируемого доступа посторонних
31
лиц к указанным средствам. Техническое обслуживание такого оборудования и смена
криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ.
8.2.6. На время отсутствия пользователей СКЗИ указанное оборудование, при наличии технической
возможности, должно быть выключено, отключено от линии связи и убрано в хранилища. В
противном случае по согласованию с лицом, ответственным за обеспечение безопасности ПДн
при их обработке в ИСПДн, необходимо предусмотреть организационно-технические меры,
исключающие возможность использования СКЗИ посторонними лицами.
32
9. Порядок проведения периодических проверок состояния организации
обработки и обеспечения безопасности ПДн
9.1. Организация проведения проверок
9.1.1. Периодические проверки состояния организации обработки и обеспечения безопасности ПДн в
Операторе осуществляются в целях внутреннего контроля соответствия обработки ПДн
Оператором установленным требованиям законодательства РФ о ПДн и локальным актам
Оператора.
9.1.2. Внутренние проверки проводятся:
(1) лицом, ответственным за организацию обработки ПДн;
(2) лицом, ответственным за обеспечение безопасности ПДн в ИСПДн;
(3) комиссией по проведению внутреннего контроля соответствия организации обработки и
обеспечения безопасности ПДн, формируемой руководителем Оператора.
9.1.3. Содержание проверок, их периодичность и ответственные исполнители определены в плане
внутренних проверок состояния организации обработки и обеспечения безопасности ПДн (см. п.
12.22 Положения).
9.1.4. Результаты проверки оформляются в виде акта, который содержит:
(1) указание на период проведения проверки;
(2) описание нарушений и недостатков, выявленных в процессе проверки;
(3) предложения и рекомендации по снижению рисков, устранению недостатков и повышению
эффективности внутреннего контроля.
9.1.5. По результатам проведения проверок, при необходимости, формируется и утверждается план
устранения недостатков, выявленных в ходе проверок, содержащий следующие сведения:
(1) выявленные недостатки;
(2) наименование мероприятий по устранению недостатков;
(3) срок проведения мероприятий;
(4) наименование ответственных лиц;
(5) перечень ожидаемых результатов устранения недостатков.
9.1.6. Контроль за устранением выявленных недостатков осуществляется лицом, ответственным за
организацию обработки ПДн, посредством запроса информации у лиц, ответственных за
реализацию мероприятий по устранению недостатков и иными способами, предусмотренными
локальными актами Оператора.
33
10. Порядок проведения оценки вреда субъектам, ПДн которых
обрабатываются
10.1. Методика проведения оценки вреда, который может быть причинен субъектам ПДн
10.1.1. Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Оператором
требований 152-ФЗ, соотношение указанного вреда и принимаемых Оператором мер,
направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ,
осуществляется лицом, ответственным за организацию обработки ПДн, в соответствии с
методикой, описанной в данном разделе Положения.
10.1.2. Согласно ч.2 ст.17 152-ФЗ вред субъекту ПДн может быть причинен в следующих формах:
(1) убытки1 – расходы, которые лицо, чье право нарушено, произвело или должно будет
произвести для восстановления нарушенного права, утрата или повреждение его имущества
(реальный ущерб), а также неполученные доходы, которые это лицо получило бы при
обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная
выгода);
(2) моральный вред2 – физические или нравственные страдания, причиняемые действиями,
нарушающими личные неимущественные права гражданина либо посягающими на
принадлежащие гражданину другие нематериальные блага, а также в других случаях,
предусмотренных законом.
10.1.3. Оценка вреда, который может быть причинен субъектам ПДн, проводится на основании
следующей шкалы:
(1) низкий уровень вреда – нарушение прав субъектов ПДн может привести к незначительным
негативным последствиям для субъектов ПДн (далее – «Н»);
(2) средний уровень вреда – нарушение прав субъектов ПДн может привести к негативным
последствиям для субъектов ПДн (далее – «С»);
(3) высокий уровень вреда – нарушение прав субъектов ПДн может привести к значительным
негативным последствиям для субъектов ПДн (далее – «В»).
10.1.4. Оценка возможного вреда субъектам ПДн определяется на основании экспертных значений, с
использованием информации о категории, объёме и принадлежности ПДн, обрабатываемых
Оператором.
10.2. Правила соотнесения возможного вреда субъектам ПДн и реализуемых Оператором
мер
10.2.1. Результат соотнесения возможного вреда субъектам ПДн и реализуемых Оператором мер,
направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ, приводится
в п.12.23 Положения.
10.2.2. Состав реализуемых Оператором правовых, организационных и технических мер, направленных
на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ, определяется исходя из
правомерности и разумной достаточности указанных мер.
1 См. ч.2 ст.15 ГК РФ. 2 См. ст.151 ГК РФ.
34
11. Содержание ответственности за нарушение норм, регулирующих
обработку и защиту ПДн
11.1.1. Сотрудники, виновные в нарушении норм, регулирующих обработку ПДн, несут
административную ответственность согласно ст.ст.13.11, 13.14 КоАП РФ.
11.1.2. Предоставление ПДн посторонним лицам, в том числе, сотрудникам Оператора, не имеющим
права их обрабатывать, распространение ПДн, утрата материальных носителей информации,
содержащих ПДн субъекта, а также иные нарушения обязанностей по обработке ПДн,
установленных Положением, локальными актами Оператора, влечет наложение на сотрудника,
имеющего доступ к ПДн, дисциплинарного взыскания: замечания, выговора или увольнения.
11.1.3. Сотрудник, имеющий доступ к ПДн субъектов и совершивший вышеуказанный дисциплинарный
проступок, несет полную материальную ответственность в случае причинения его действиями
ущерба Оператору (п.7 ст.243 ТК РФ).
11.1.4. Сотрудники, имеющие доступ к ПДн субъектов, виновные в незаконном сборе или передаче ПДн,
а также осуществившие неправомерный доступ к охраняемой законом компьютерной
информации, несут уголовную ответственность в соответствии со ст.ст.137, 272 УК РФ.
35
12. Приложения
12.1. Обязательство сотрудника об обеспечении конфиденциальности и безопасности
ПДн, а также о прекращении обработки ПДн
Я, ФИО:_____________________, основной документ, удостоверяющий личность: серия _________ номер
___________________, дата выдачи ___________________, орган, выдавший
документ ____________________, занимая должность _____________________________ в структурном
подразделении _____________________________ ЗАО «Делойт и Туш СНГ», при выполнении своих
должностных обязанностей осуществляю обработку персональных данных субъектов и обязуюсь:
1) соблюдать конфиденциальность персональных данных, ставших мне известными в связи с
исполнением должностных обязанностей;
2) обеспечивать безопасность непосредственно обрабатываемых мной персональных данных;
3) выполнять требования законодательства Российской Федерации и локальных нормативных
актов ЗАО «Делойт и Туш СНГ», регламентирующих вопросы организации обработки и
обеспечения безопасности персональных данных;
4) не использовать персональные данные, ставшие мне известными в связи с исполнением
должностных обязанностей, с целью получения выгоды и(или) нанесения вреда субъектам
персональных данных и(или) иным лицам;
5) прекратить обработку персональных данных, ставших мне известными в связи с исполнением
должностных обязанностей, в случае расторжения со мной трудового договора и передать
любые материальные носители информации, содержащие персональные данные, которые
находились в моем распоряжении в связи с исполнением должностных обязанностей, моему
непосредственному руководителю.
Настоящее обязательство действует со дня его подписания до дня прекращения моих трудовых
отношений с ЗАО «Делойт и Туш СНГ», а также после их прекращения в течение трех лет.
Я предупрежден(а), что в случае нарушения данного обязательства могу быть привлечен(а) к
административной, дисциплинарной, материальной, уголовной или иной ответственности в соответствии
с законодательством Российской Федерации.
«__» ________ 201_ года ________________/ ______________________ /
(подпись) (расшифровка подписи)
36
12.2. Журнал учёта проведения инструктажей сотрудников по соблюдению правил
обработки и защиты ПДн
Начат «__» ________ 201_ года
Окончен «__» ________ 201_ года
1 В целях ведения журнала используются следующие понятия:
1.1 Первичный инструктаж - проводится инструктирующим лицом непосредственно на рабочем
месте перед началом рабочей деятельности со всеми принятыми на работу, переведенными из
одного подразделения в другое, командированными, учащимися, прибывшими на
производственную практику, с сотрудниками, выполняющими новую для них работу;
1.2 Текущий инструктаж – проводится регулярно инструктирующим лицом непосредственно на
рабочем месте со всеми инструктируемыми сотрудниками для повторения и закрепления
необходимых знаний;
1.3 Внеплановый инструктаж - проводится инструктирующим лицом непосредственно на рабочем
месте с сотрудниками подразделений, направленными для выполнения разовых работ, не
связанных с их должностными обязанностями, или с целью изучения вновь принятых или
измененных правовых актов и нормативных документов, связанных с обработкой персональных
данных.
Левая сторона разворота журнала
№ Дата
инструктажа
Сведения об инструктируемом лице Вид инструктажа
(первичный, текущий,
внеплановый) Ф.И.О. Должность
Структурное
подразделение
1 2 3 4 5 6
Правая сторона разворота журнала
Содержание
инструктажа
Ф.И.О., должность
инструктирующего
Подпись Примечания
инструктируемого инструктирующего
7 8 9 10 11
37
12.3. Журналы учета носителей, предназначенных для хранения ПДн
12.3.1. Журналы учета отчуждаемых машинных носителей ПДн
Начат «__» ________ 201_ года
Окончен «__» ________ 201_ года
Левая сторона разворота журнала
№ Регистрационный
номер
Дата постановки
на учет Тип и емкость
Цель обработки
ПДн Категории3 ПДн
1 2 3 4 5 6
Правая сторона разворота журнала Место
хранения4
Сведения об уничтожении
Примечание Дата
уничтожения
Реквизиты акта об
уничтожении Метод уничтожения
7 8 9 10 11
3 Иные, специальные, биометрические, общедоступные. 4 Адрес, номер помещения, номер шкафа, сейфа и т.п.
38
12.3.2. Журнал учета АРМ, используемых для обработки ПДн
Начат «__» ________ 201_ года
Окончен «__» ________ 201_ года
Левая сторона разворота журнала
№ Инвентарный
номер
Дата
постановки на
учет
Тип5 Цель обработки
ПДн Категории6 ПДн
1 2 3 4 5 6
Правая сторона разворота журнала
Место нахождения7
Сведения о расформировании
Примечание Дата
расформирования
Реквизиты акта о
расформировании
7 8 9 10
5 Стационарный ПК, ноутбук, планшетный ПК, смартфон. 6 Иные, специальные, биометрические, общедоступные. 7 Адрес, номер помещения и т.п.
39
12.3.3. Журнал учета систематизированных собраний бумажных носителей ПДн
Начат «__» ________ 201_ года
Окончен «__» ________ 201_ года
Левая сторона разворота журнала
Правая сторона разворота журнала
Место нахождения9
Сведения о расформировании
Примечание Дата
расформирования
Реквизиты акта о
расформировании
6 7 8 9
8 Иные, специальные, биометрические, общедоступные. 9 Адрес, номер помещения, номер шкафа, сейфа и т.п.
№ Наименование Дата постановки на учет Цель обработки ПДн Категории8 ПДн
1 2 3 4 5
40
12.4. Журнал учета обращений субъектов (представителей субъектов) ПДн
Начат «__» ________ 201_ года
Окончен «__» ________ 201_ года
№
Ф.И.О.
запрашиваю
щего лица
Краткое
содержание
обращения
Цель
обращения
Отметка о
предпринятых
действиях
Название, номер и
дата исходящего
документа
(письма)
Подпись
ответственног
о сотрудника
1 2 3 4 5 6 7
41
12.5. Журнал учета запросов и требований уполномоченных органов
Начат «__» ________ 201_ года
Окончен «__» ________ 201_ года
№
Наименовани
е
уполномочен
ного органа
Дата и
номер
запроса
или
требовани
я
Правовое
основание и
мотивировка
запроса или
требования
Отметка о
принятом
решении
(предприняты
х действиях)
Название, номер
и дата
исходящего
документа
(письма)
Подпись
ответственног
о сотрудника
1 2 3 4 5 6 7
42
12.6. Журнал поэкземплярного учета СЗКИ, эксплуатационной и технической
документации к ним, ключевых документов
Начат «__» ________ 201_ года
Окончен «__» ________ 201_ года
1 В целях ведения настоящего журнала используется следующая аббревиатура:
1.1 СКЗИ – средство криптографической защиты информации.
Левая сторона разворота журнала
№
Наименование
СКЗИ,
эксплуатационной
и технической
документации к
ним, ключевых
документов
Регистрационные
номера СКЗИ,
эксплуатационной
и технической
документации к
ним, номера серий
ключевых
документов
Номера
экземпляров
(криптографи-
ческие
номера)
ключевых до-
кументов
Отметка о получении Отметка о выдаче
От кого
получены
Дата и
номер
сопро-
водитель-
ного
письма
Ф.И.О.
пользо-
вателя
СКЗИ
Дата и
расписка
в
получении
1 2 3 4 5 6 7 8
Правая сторона разворота журнала
Отметка о подключении (установке) СКЗИ Отметка об изъятии СКЗИ из аппаратных
средств, уничтожении ключевых
документов
Примечание
Ф.И.О.
пользователя
СКЗИ,
производившего
подключение
(установку)
Дата
подключения
(установки) и
подписи лиц,
произведших
подключение
(установку)
Номера
аппаратных
средств, в
которые
установлены
или к
которым
подключены
СКЗИ
Дата
изъятия
(уничто-
жения)
Ф.И.О.
пользователя
СКЗИ,
производившего
изъятие
(уничтожение)
Номер акта
или
расписка об
уничтожении
9 10 11 12 13 14 15
43
12.7. Журнал учёта инструктажей лиц, допущенных к работе со СЗКИ,
предназначенными для обеспечения безопасности ПДн
Начат «__» ________ 201_ года
Окончен «__» ________ 201_ года
Левая сторона разворота журнала
№ Дата
инструктажа
Сведения об инструктируемом лице Вид инструктажа
(первичный, текущий,
внеплановый) Ф.И.О. Должность Структурное
подразделение
1 2 3 4 5 6
Правая сторона разворота журнала
Содержание
инструктажа
Ф.И.О., должность
инструктирующего
Подпись Примечания
инструктируемого инструктирующего
7 8 9 10 11
44
12.8. Акт об уничтожении ПДн
«__» ________ 201_ года
Комиссия в составе:
(1) [Фамилия Имя Отчество], [Наименование должности], лицо, ответственное за организацию
обработки персональных данных – председатель комиссии;
(2) [Фамилия Имя Отчество], [Наименование должности], лицо, ответственное за обеспечение
безопасности персональных данных в информационных системах персональных данных – член
комиссии;
(3) [Фамилия Имя Отчество], [Наименование должности] – член комиссии;
(4) [Фамилия Имя Отчество], [Наименование должности] – член комиссии;
провела отбор (сортировку) подлежащих уничтожению персональных данных и установила, что в
соответствии с достижением целей обработки персональных данных или утратой необходимости в
достижении этих целей информация, содержащаяся на следующих материальных носителях, подлежит
уничтожению:
№ Дата Тип
носителя10
Регистрационный
№ носителя ПДн11 Способ уничтожения12
1 2 3 4 5
Всего подлежит уничтожению: _________________________ носителей персональных данных. (цифрами и прописью)
После утверждения акта, перечисленные носители сверены с записями в акте и уничтожены.
Уничтоженные носители с журналов учета списаны.
Председатель комиссии: ________________/ ______________________ /
(подпись) (расшифровка подписи)
Члены комиссии: ________________/ ______________________ /
(подпись) (расшифровка подписи)
________________/ ______________________ /
(подпись) (расшифровка подписи)
________________/ ______________________ /
(подпись) (расшифровка подписи)
10 HDD, Flash Card, бумажный и др. 11 При наличии. 12 Разрезание, сжигание, механическое уничтожение, сдача предприятию по утилизации вторичного сырья и т.п.
45
12.9. Акт установления УЗ ПДн при их обработке в ИСПДн
«__» ________ 201_ года
Акт
установления необходимого уровня защищенности персональных данных
при их обработке в информационной системе «[Наименование ИСПДн]»
Комиссия ЗАО «Делойт и Туш СНГ» в составе:
председатель: [Фамилия Имя Отчество], [Наименование должности]
члены комиссии: [Фамилия Имя Отчество], [Наименование должности]
[Фамилия Имя Отчество], [Наименование должности]
РАССМОТРЕЛА
следующие сведения об информационной системе персональных данных «[Наименование ИСПДн]»
(далее – ИСПДн):
Категория обрабатываемых
персональных данных
Принадлежность
персональных данных,
обрабатываемых в ИС
Объем обрабатываемых
персональных данных
Тип актуальных угроз
По результатам анализа исходных характеристик в соответствии с п.12 и и.13 «Требований к
защите персональных данных при их обработке в информационных системах персональных данных»,
утверждённых Постановлением Правительства Российской Федерации от 01.11.2012 г., №1119 комиссия
УСТАНОВИЛА:
необходимость обеспечения [Уровень защищенности ИСПДн] уровня защищенности персональных
данных при их обработке в ИСПДн.
Председатель комиссии: ________________/ ______________________ /
(подпись) (расшифровка подписи)
Члены комиссии: ________________/ ______________________ /
(подпись) (расшифровка подписи)
________________/ ______________________ /
(подпись) (расшифровка подписи)
46
12.10. Акт приема-передачи документов (иных материальных носителей информации),
содержащих ПДн субъектов
г. Москва «__» _________ 201_
года
Во исполнение договора на оказание услуг № ___ от «__»_________201_года, заключенного между
[Наименование передающей стороны] и [Наименование принимающей стороны].
[Наименование передающей стороны], в лице [Ф.И.О., наименование должности представителя,
осуществляющего передачу персональных данных], передает, а [Наименование принимающей стороны],
в лице [Ф.И.О., наименование должности представителя, осуществляющего прием персональных
данных], получает документы (иные материальные носители), содержащие персональные данные на срок
___________ и в целях: _______________________________.
Перечень передаваемых документов (иных материальных носителей), содержащих персональные
данные:
№ п/п Кол-во
1. ….
2. ….
Всего ….
Полученные персональные данные субъектов могут быть использованы только в целях, для которых
они предоставлены. Незаконное использование предоставленных персональных данных путем их
раскрытия, уничтожения и другими способами, установленными федеральными законами, может повлечь
соответствующую гражданско-правовую, материальную, дисциплинарную, административно-правовую
и уголовную ответственность.
Передал: ________________/ ______________________ /
(подпись) (расшифровка подписи)
Принял: ________________/ ______________________ /
(подпись) (расшифровка подписи)
47
12.11. Согласие субъекта персональных данных (работника) на обработку
персональных данных работодателем
Я, ___________________________________________________________________________________________________________,
документ, удостоверяющий личность:____________________________ серия________№__________________________________,
дата выдачи:____________________ кем выдан: ____________________________________________________________________,
проживающий(ая) по адресу:_____________________________________________________________________________________,
действуя свободно, своей волей и в своем интересе, даю нижеуказанные Согласия №№1-22 ЗАО «Делойт и Туш СНГ» (далее –
Оператор) (юридический адрес: Россия, 125047, Москва, ул. Лесная, д. 5):
Согласие №1. Я выражаю свое согласие на обработку с целью: подготовка к заключению, заключение и исполнение обязательств
по договорам оказания аудиторских и сопутствующих аудиту услуг со стороны ЗАО «Делойт и Туш СНГ» в пользу контрагентов
(клиентов).
Оператор вправе осуществлять сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с использованием средств автоматизации
и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
наименование должности
наименование структурного подразделения
наименование и адрес текущего места трудоустройств
номер контактного телефона
адрес электронной почты
образец подписи
Оператор вправе осуществлять передачу (предоставление), включая трансграничную передачу, моих вышеуказанных
персональных данных следующим третьим лицам:
компании, входящие в сеть «Делойт Туш Томацу
Лимитед»
контрагенты (клиенты) Оператора и их представители
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 5 (пяти) лет.
Согласие №2. Я выражаю свое согласие на обработку с целью: организация и осуществление ЗАО «Делойт и Туш СНГ»
мероприятий в целях контроля независимости аудиторов и оценщиков (сотрудников ЗАО «Делойт и Туш СНГ») и
предотвращения возникновения конфликта интересов при оказании услуг аудита или оценки в соответствии с требованиями
российского законодательства, соответствующих профессиональных стандартов, а также внутренними правилами сети Делойт
Туш Томацу Лимитед.
Оператор вправе осуществлять сбор, включая получение от третьих лиц и из общедоступных источников, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (доступ),
блокирование, удаление, уничтожение с использованием средств автоматизации и без использования средств автоматизации
моих нижеуказанных персональных данных:
фамилия, имя, отчество
данные о гражданстве;
дата рождения;
наименование и реквизиты (серия и номер, дата выдачи,
наименование и код выдавшего органа) документа,
удостоверяющего личность лица на территории РФ
наименование и реквизиты (серия и номер, дата выдачи,
наименование и код выдавшего органа) документа,
удостоверяющего личность иностранного гражданина на
территории РФ, а также при выезде и въезде в РФ
сведения о родственных связях
идентификационный номер налогоплательщика (ИНН)
страховой номер индивидуального лицевого счета
(СНИЛС)
номер контактного телефона
адрес электронной почты
наименование и адрес текущего места трудоустройства
наименование должности
наименование структурного подразделения
сведения о факте ведения финансово-хозяйственной
деятельности
сведения об участии в уставном капитале и участии (членстве) в
органах управления юридических лиц, ведущих финансово-
хозяйственную деятельность
сведения о наличии личного и (или) имущественного
страхования
сведения о наличии депозитов и (или) кредитных обязательствах
сведения об имущественном положении
сведения об источниках доходах, об имуществе и обязательствах
имущественного характера
сведения о финансовых инвестициях
сведения об участии (членстве) в профессиональных
саморегулируемых организациях и ассоциациях
48
Оператор вправе осуществлять передачу (предоставление), включая трансграничную передачу, моих вышеуказанных
персональных данных следующим третьим лицам:
компании, входящие в сеть «Делойт Туш Томацу Лимитед»
Оператор вправе поручить обработку моих вышеуказанных персональных данных Обществу с ограниченной ответственностью
«Делойт Аудит» (Россия, 125047, Москва, ул. Лесная, д. 5).
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 3 (трех) лет.
Согласие №3. Я выражаю свое согласие на обработку с целью: регистрация и членство ЗАО «Делойт и Туш СНГ» в
профессиональных саморегулируемых организациях и ассоциациях, регулирующих органах и осуществление проверок такими
лицами.
Оператор вправе осуществлять сбор, включая получение от третьих лиц, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с
использованием средств автоматизации и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
данные о гражданстве
дата и место рождения
зарегистрированный адрес места жительства
наименование и реквизиты (серия и номер, дата выдачи,
наименование и код выдавшего органа) документа,
удостоверяющего личность лица на территории РФ
наименование и реквизиты (серия и номер, дата выдачи,
наименование и код выдавшего органа) документа,
удостоверяющего личность иностранного гражданина на
территории РФ, а также при выезде и въезде в РФ
номер контактного телефона
адрес электронной почты
наименование и адрес текущего места трудоустройства
наименование должности
наименование структурного подразделения
наименование и реквизиты (серия и номер, дата выдачи,
наименование проводившей обучение организации,
наименование выдавшего органа) документа о
прохождении обучения (повышения квалификации,
переподготовке, аттестации)
сведения об образовании, квалификации, специальности,
переподготовке
сведения об участии (членстве) в профессиональных
саморегулируемых организациях и ассоциациях
идентификационный номер налогоплательщика (ИНН)
Оператор вправе осуществлять передачу (предоставление), включая трансграничную передачу, моих вышеуказанных
персональных данных следующим третьим лицам:
компании, входящие в сеть «Делойт Туш Томацу Лимитед» профессиональные саморегулируемые организации и
ассоциации
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 3 (трех) лет.
Согласие №4. Я выражаю свое согласие на обработку с целью: рассмотрение и учет обращений (запросов, предложений,
комментариев, претензий, благодарностей), поступающих в ЗАО «Делойт и Туш СНГ» от контрагентов и иных лиц, а также
осуществление ЗАО «Делойт и Туш СНГ» информационного обслуживания указанных лиц.
Оператор вправе осуществлять сбор, включая получение от третьих лиц и из общедоступных источников, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (доступ),
блокирование, удаление, уничтожение с использованием средств автоматизации и без использования средств автоматизации
моих нижеуказанных персональных данных:
фамилия, имя, отчество
наименование должности
наименование структурного
подразделения
наименование и адрес текущего места
трудоустройства
номер контактного телефона
адрес электронной почты
фотографическое изображение лица
сведения об опыте работе
данные об образовании, квалификации,
специальности
Оператор вправе осуществлять передачу (предоставление), включая трансграничную передачу, моих вышеуказанных
персональных данных следующим третьим лицам:
контрагенты (клиенты) Оператора и их представители
потенциальные контрагенты (клиенты) Оператора и их
представители
компании, входящие в сеть «Делойт Туш Томацу Лимитед»
лица, направляющие обращения Оператору
посетители и пользователи сайтов в сети
«Интернет», функционирующих в интересах
Оператора
Оператор вправе признавать мои нижеуказанные персональные данные общедоступными (осуществлять их распространение):
фамилия, имя, отчество
наименование должности
наименование структурного
подразделения
наименование и адрес текущего места
трудоустройства
номер контактного телефона
адрес электронной почты
фотографическое изображение лица
сведения об опыте работе
данные об образовании, квалификации,
специальности
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 3 (трех) лет.
49
Согласие №5. Я выражаю свое согласие на обработку с целью: организация и осуществление ЗАО «Делойт и Туш СНГ»
мероприятий, направленных на повышение уровня продаж, установление и улучшение бизнес-процедур, а также улучшение
качества обслуживания и поддержания лояльности клиентов.
Оператор вправе осуществлять сбор, включая получение от третьих лиц, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с
использованием средств автоматизации и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
наименование должности
наименование структурного подразделения
наименование и адрес текущего места трудоустройства
номер контактного телефона
адрес электронной почты
Оператор вправе осуществлять передачу (предоставление), включая трансграничную передачу, моих вышеуказанных
персональных данных следующим третьим лицам:
контрагенты (клиенты) Оператора и их представители
компании, входящие в сеть «Делойт Туш Томацу
Лимитед»
потенциальные контрагенты (клиенты) Оператора и их
представители
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 3 (трех) лет.
Согласие №6. Я выражаю свое согласие на обработку с целью: предложение ЗАО «Делойт и Туш СНГ» своих услуг клиентам и
потенциальным клиентам, подготовка коммерческих предложений, участие в тендерах (аукционах и конкурсах, а также в иных
процедурах, предусмотренных действующим законодательством) и подготовка необходимых для участия в тендерах документов.
Оператор вправе осуществлять сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с использованием средств автоматизации
и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
дата рождения
номер рабочего телефона
контактный адрес электронной почты
наименование должности
наименование структурного подразделения
наименование текущего места трудоустройства
наименование предыдущих мест трудоустройств и период
работы в них,
дата вступления в должность
реквизиты (серия и номер, дата выдачи, наименование
выдавшего органа) трудовой книжки
наименование и реквизиты (серия и номер, дата выдачи,
наименование и код выдавшего органа) документа,
удостоверяющего личность лица на территории РФ
сведения (дата, период, наименование организации,
проводившей обучение) о прохождении обучения
(повышения квалификации, переподготовке)
наименование и реквизиты (серия и номер, дата выдачи,
наименование проводившей обучение организации,
наименование выдавшего органа) документа о прохождении
обучения (повышения квалификации, переподготовке,
аттестации)
сведения об образовании, квалификации, специальности,
переподготовке
сведения об ученой степени, ученом звании
сведения о профессиональных компетенциях, знаниях и
навыках
сведения о знании и об уровне владения иностранными
языками
сведения об опыте работе
фотографическое изображение лица
сведения об участии (членстве) в профессиональных
саморегулируемых организациях и ассоциациях
Оператор вправе осуществлять передачу (предоставление), включая трансграничную передачу, моих вышеуказанных
персональных данных следующим третьим лицам:
потенциальные контрагенты (клиенты) Оператора и их
представители
потенциальные контрагенты (клиенты) компаний,
входящих в сеть «Делойт Туш Томацу Лимитед»
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 6 (шести) месяцев.
Согласие №7. Я выражаю свое согласие на обработку с целью: ведение договорной работы в рамках возникновения, изменения
и прекращения правоотношений между ЗАО «Делойт и Туш СНГ» и третьими лицами.
Оператор вправе осуществлять сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с использованием средств автоматизации
и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
наименование должности
наименование структурного подразделения
наименование текущего места трудоустройства
номер контактного телефона
адрес электронной почты
Оператор вправе осуществлять передачу (предоставление), включая трансграничную передачу, моих вышеуказанных
персональных данных следующим третьим лицам:
50
контрагенты Оператора и их представители потенциальные контрагенты Оператора и их
представители
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 3 (трех) лет.
Согласие №8. Я выражаю свое согласие на обработку с целью: оформление доверенностей в рамках наделения сотрудников и
иных лиц специальными полномочиями для выполнения возложенных на них трудовых функций и (или) представления
интересов ЗАО «Делойт и Туш СНГ».
Оператор вправе осуществлять сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с использованием средств автоматизации
и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
дата рождения
сведения об имеющемся гражданстве
наименование и реквизиты (серия и номер, дата выдачи,
наименование и код выдавшего органа) документа,
удостоверяющего личность лица на территории Российской
Федерации
образец подписи
зарегистрированный адрес места жительства
наименование должности
наименование структурного подразделения
наименование и адрес текущего места трудоустройства
наименование и реквизиты (серия и номер, дата выдачи,
дата окончания срока действия, наименование и код
выдавшего органа) документа, удостоверяющего личность
иностранного гражданина на территории Российской
Федерации, а также при выезде и въезде в Российскую
Федерацию
Оператор вправе осуществлять передачу (предоставление), включая трансграничную передачу, моих вышеуказанных
персональных данных следующим третьим лицам:
лица, которым предъявляются доверенности нотариусы
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 3 (трех) лет.
Согласие №9. Я выражаю свое согласие на обработку с целью: участие ЗАО «Делойт и Туш СНГ» в гражданском, арбитражном,
административном процессах, а также исполнение ЗАО «Делойт и Туш СНГ» судебных актов.
Оператор вправе осуществлять сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с использованием средств автоматизации
и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
дата рождения
сведения о месте рождения
сведения об имеющемся гражданстве
наименование и реквизиты (серия и номер, дата выдачи,
наименование и код выдавшего органа) документа,
удостоверяющего личность лица на территории Российской
Федерации
образец подписи
зарегистрированный адрес места жительства
дата регистрации по месту жительства
наименование должности
наименование структурного подразделения
наименование и адрес текущего места трудоустройства
наименование и реквизиты (серия и номер, дата выдачи,
дата окончания срока действия, наименование и код
выдавшего органа) документа, удостоверяющего личность
иностранного гражданина на территории Российской
Федерации, а также при выезде и въезде в Российскую
Федерацию
Оператор вправе осуществлять передачу (предоставление), включая трансграничную передачу, моих вышеуказанных
персональных данных следующим третьим лицам:
поставщики услуг по представлению интересов в суде участники гражданских, арбитражных, административных процессов и
исполнительных производств, в которые вовлечен Оператор
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 3 (трех) лет.
Согласие №10. Я выражаю свое согласие на обработку с целью: осуществление ЗАО «Делойт и Туш СНГ» как работодателя
обязанностей, предусмотренных Трудовым кодексом Российской Федерации, по выплате сотрудникам причитающейся
заработной платы, компенсаций и премий, по осуществлению пенсионных и налоговых отчислений.
Оператор вправе осуществлять сбор, включая получение от третьих лиц, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с
использованием средств автоматизации и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
дата рождения
сведения о месте рождения
сведения об имеющемся гражданстве
сумма налога, подлежащая возврату из
бюджета
страховой номер индивидуального лицевого
счета (СНИЛС)
период и причина
нетрудоспособности
табельный номер
сведения о доходах за предыдущий
период до текущего трудоустройства
51
наименование и реквизиты (серия и
номер, дата выдачи, наименование и
код выдавшего органа) документа,
удостоверяющего личность лица на
территории Российской Федерации
наименование и реквизиты (серия и
номер, дата выдачи, дата окончания
срока действия, наименование и код
выдавшего органа) документа,
удостоверяющего личность
иностранного гражданина на
территории Российской Федерации, а
также при выезде и въезде в
Российскую Федерацию
зарегистрированный адрес места
жительства
дата регистрации по месту
жительства
идентификационный номер
налогоплательщика (ИНН)
сумма налога, подлежащая уплате
(доплате) в бюджет
номер банковского счета (или банковской
карты) и наименование банка, где открыт
данный счет (который эмитировал данную
карту)
наименование должности
наименование структурного подразделения
наименование и адрес текущего места
трудоустройства
реквизиты (сведения о дате заключения и
номер) трудового договора
дата приема на работу
сведения о факте и дате прекращения
трудового договора
реквизиты (серия и номер, дата выдачи,
наименование выдавшего органа) трудовой
книжки
сведения о наличии инвалидности
наименование и реквизиты (серия и номер,
дата выдачи, наименование выдавшего
органа) документа, подтверждающего
инвалидность
сведения о размере оклада
сведения о начисленной и
удержанной заработной плате
сведения о трудовом стаже
сведения о начисленных и
уплаченных страховых взносах
сведения о премиях
сведения о периодических выплатах
сведения о сумме дополнительного
вознаграждения
сведения о выплатах материальной
помощи и иных компенсаций
сведения о страховом и льготном
стаже
сведения о факте, виде, периоде и
продолжительности нахождения в
отпуске
Оператор вправе осуществлять передачу (предоставление), включая трансграничную передачу, моих вышеуказанных
персональных данных следующим третьим лицам:
кредитные организации (банки)
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 5 (пяти) лет, в том числе в отношении обработки моих персональных данных в информационных
системах Оператора.
Согласие №11. Я выражаю свое согласие на обработку с целью: облегчение коммуникаций между сотрудниками ЗАО «Делойт
и Туш СНГ» и сотрудниками компаний, входящих в сеть «Делойт Туш Томацу Лимитед» посредством ведения справочника
персональных данных сотрудников, содержащих контактную и другую информацию делового характера, а также облегчение
коммуникаций с потенциальными и действующими клиентами ЗАО «Делойт и Туш СНГ» и иными лицами в рамках выполнения
сотрудниками своих должностных обязанностей.
Оператор вправе признавать мои нижеуказанные персональные данные общедоступными (осуществлять их распространение) и
осуществлять последующую обработку с использованием средств автоматизации и без использования средств автоматизации (в
том числе, размещения контактной информации в рамках Интернет сайтов и в информационных материалах, в случае такой
необходимости) этих персональных данных в любых сочетаниях между собой:
фамилия, имя, отчество
наименование должности
наименование структурного подразделения
дата приема на работу
наименование и адрес текущего места
трудоустройства
фотографическое изображение
лица
номер контактного телефона
адрес электронной почты
сведения об опыте работе
сведения об образовании,
квалификации, специальности
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 6 (шести) месяцев.
Согласие №12. Я выражаю свое согласие на обработку с целью: организация и (или) осуществление ЗАО «Делойт и Туш СНГ»
обучения, повышения квалификации и проверки знаний, осуществление оценки деловых, личностных качеств сотрудников и
результатов их труда, а также осуществление оценки удовлетворенности сотрудников ЗАО «Делойт и Туш СНГ» своим трудом.
Оператор вправе осуществлять сбор, включая получение от третьих лиц, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с
использованием средств автоматизации и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
наименование должности
наименование структурного подразделения
наименование и адрес текущего места трудоустройства
дата приема на работу
номер контактного телефона
адрес электронной почты
сведения (дата, период, наименование организации,
проводившей обучение) о прохождении обучения
(повышения квалификации, переподготовке)
сведения о посещаемости и успеваемости при прохождении
обучения (повышения квалификации, переподготовке)
наименование и реквизиты (серия и номер, дата выдачи,
наименование проводившей обучение организации,
наименование выдавшего органа) документа о
прохождении обучения (повышения квалификации,
переподготовке, аттестации)
сведения об образовании, квалификации, специальности,
переподготовке
сведения об ученой степени, ученом звании
сведения о профессиональных компетенциях, знаниях и
навыках
сведения о дополнительных компетенциях, знаниях и
навыках
52
сведения о знании и об уровне владения иностранными
языками
Оператор вправе осуществлять передачу (предоставление), включая трансграничную передачу, моих вышеуказанных
персональных данных следующим третьим лицам:
компании, входящие в сеть «Делойт Туш Томацу Лимитед» поставщики образовательных услуг
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 3 (трех) лет.
Согласие №13. Я выражаю свое согласие на обработку с целью: выполнение ЗАО «Делойт и Туш СНГ» принятых на себя
социальных обязательств в отношении сотрудников и их родственников в виде: предоставления им возможности участвовать в
программах страхования; организации корпоративных мероприятий; предоставление подарков детям сотрудников; оплаты
обучения в учебных учреждениях детям сотрудников; выплата материальной помощи и иных компенсаций в случаях,
определенных локальными актами ЗАО «Делойт и Туш СНГ».
Оператор вправе осуществлять сбор, включая получение от третьих лиц, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с
использованием средств автоматизации и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
наименование должности
наименование структурного подразделения
наименование текущего места трудоустройства
сведения о семейном положении
сведения о количестве и возрасте детей
сведения о степени родства
номер контактного телефона
адрес электронной почты
зарегистрированный адрес места жительства
фактический адрес места жительства
сведения о наличии личного страхования
реквизиты (серия и номер, дата выдачи) страхового полиса и
наименование страховой организации
номер страховой программы
сведения о размере индивидуальных сумм страхового
возмещения
наименование и реквизиты (серия и номер, дата выдачи,
наименование и код выдавшего органа) документа,
удостоверяющего личность лица на территории Российской
Федерации
наименование и реквизиты (серия и номер, дата выдачи, дата
окончания срока действия, наименование и код выдавшего
органа) документа, удостоверяющего личность иностранного
гражданина на территории Российской Федерации, а также при
выезде и въезде в Российскую Федерацию
Я, как законный представитель, выражаю свое согласие на обработку персональных данных детей:
1. ____________________________________________________________________________________________, фамилия, имя, отчество ребенка и дата рождения
2. _____________________________________________________________________________________________, фамилия, имя, отчество ребенка и дата рождения
3. _____________________________________________________________________________________________, фамилия, имя, отчество ребенка и дата рождения
Оператор вправе осуществлять сбор, включая получение от третьих лиц, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с
использованием средств автоматизации и без использования средств автоматизации нижеуказанных персональных данных
детей:
фамилия, имя, отчество
дата рождения
зарегистрированный адрес места жительства
фактический адрес места жительства
наименование и реквизиты (серия и номер, дата выдачи,
дата окончания срока действия, наименование и код
выдавшего органа) документа, удостоверяющего
личность иностранного гражданина на территории
Российской Федерации, а также при выезде и въезде в
Российскую Федерацию
сведения о наличии личного страхования
реквизиты (серия и номер, дата выдачи) страхового полиса и
наименование страховой организации
номер страховой программы
сведения о размере индивидуальных сумм страхового
возмещения
наименование и реквизиты (серия и номер, дата выдачи,
наименование и код выдавшего органа) свидетельства о
рождении
наименование текущего места учебы
Оператор вправе осуществлять передачу (предоставление), включая трансграничную передачу, моих вышеуказанных
персональных данных и персональных данных моих детей следующим третьим лицам:
поставщики услуг по организации мероприятий
поставщики образовательных услуг
страховые компании
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 3 (трех) лет.
53
Согласие №14. Я выражаю свое согласие на обработку с целью: оформление ЗАО «Делойт и Туш СНГ» командировочных
документов для сотрудников, а также осуществление ЗАО «Делойт и Туш СНГ» организации и управления деловыми поездками
сотрудников (включая оказание помощи в оформлении въездных виз в иностранные государства).
Оператор вправе осуществлять сбор, включая получение от третьих лиц, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с
использованием средств автоматизации и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
предыдущие фамилия, имя, отчество, если изменялись
дата рождения
сведения о месте рождения
сведения о половой принадлежности
сведения об имеющемся гражданстве
сведения о ранее имевшемся гражданстве
наименование и реквизиты (серия и номер, дата выдачи,
наименование и код выдавшего органа) документа,
удостоверяющего личность лица на территории РФ
наименование и реквизиты (серия и номер, дата выдачи,
наименование и код выдавшего органа) документа,
удостоверяющего личность гражданина РФ за пределами РФ,
а также при выезде и въезде в РФ
зарегистрированный адрес места жительства
зарегистрированный адрес прежних мест жительства
дата регистрации по месту жительства
фактический адрес места жительства
сведения о посещаемых и (или) посещенных иностранных
государствах
сведения о периоде и продолжительности фактического
пребывания на территории иностранных государств
сведения о цели зарубежной поездки
наименование должности
наименование структурного подразделения
наименование текущего места трудоустройства
сведения о месте и дате направления в командировку
сведения о факте, периоде и продолжительности
нахождения в командировке
сведения о сумме произведенных командировочных
расходов
номер банковского счета (или банковской карты) и
наименование банка, где открыт данный счет (который
эмитировал данную карту)
сведения о семейном положении
сведения о наличии личного (медицинского) страхования
реквизиты (серия и номер, сведения о дате выдачи)
страхового полиса и наименование страховой организации
сведения о движении денежных средств на банковском
счете за определенный период
дата начала и дата окончания срока действия права на
въезд и пребывание на территории иностранных государств
сведения о разрешенной продолжительности пребывания
на территории иностранных государств
сведения об отказе в получении права на въезд и
пребывание на территории иностранных государств
фотографическое изображение лица
Оператор вправе осуществлять передачу (предоставление), включая трансграничную передачу, моих вышеуказанных
персональных данных следующим третьим лицам:
транспортные организации
поставщики гостиничных услуг
поставщики услуг по организации и управлению деловыми
поездками
поставщики услуг по организации визово-миграционной
поддержки
Оператор вправе поручить обработку моих вышеуказанных персональных данных Обществу с ограниченной ответственностью
«РБТ-Холдинг» (107150, г. Москва, ул. Ивантеевская, д. 25А).
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 3 (трех) лет, в том числе в отношении обработки моих персональных данных в информационных
системах Оператора.
Согласие №15. Я выражаю свое согласие на обработку с целью: содействие ЗАО «Делойт и Туш СНГ» сотрудникам в
надлежащем выполнении ими возложенных на них трудовых функций посредством выдачи визитных карточек, предоставления
услуг такси, организации курьерских услуг.
Оператор вправе осуществлять сбор, включая получение от третьих лиц, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с
использованием средств автоматизации и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
наименование должности
наименование структурного подразделения
наименование и адрес текущего места трудоустройства
номер контактного телефона адрес электронной почты
Оператор вправе осуществлять передачу (предоставление) моих вышеуказанных персональных данных следующим третьим
лицам:
транспортные организации
поставщики курьерских услуг
поставщики услуг по изготовлению и печатанию визитных
карточек
Оператор вправе поручить обработку моих вышеуказанных персональных данных Обществу с ограниченной ответственностью
«Дизайн-бюро и типография «А-КВАДРАТ» (Россия, 123298, г. Москва, ул. Маршала Бирюзова, д. 1, стр.2).
54
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 3 (трех) лет.
Согласие №16. Я выражаю свое согласие на обработку с целью: обеспечение ЗАО «Делойт и Туш СНГ» личной безопасности и
защита жизни, здоровья сотрудников и иных лиц, посещающих объекты недвижимости (помещения, здания, территорию) ЗАО
«Делойт и Туш СНГ», а также обеспечение сохранности материальных и иных ценностей, находящихся в ведении ЗАО «Делойт
и Туш СНГ».
Оператор вправе осуществлять сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с использованием средств автоматизации
и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
биометрические персональные данные (фотографическое
изображение лица)
запись видеоизображения субъекта и его речи
наименование и реквизиты (серия и номер, дата выдачи,
наименование и код выдавшего органа) документа,
удостоверяющего личность лица на территории РФ
наименование должности
наименование структурного подразделения
наименование и адрес текущего места трудоустройства
номер и дата окончания срока действия служебного
пропуска (ID-карты)
сведения о факте и дате прекращения трудового
договора
время и дата посещения помещений, зданий и
территории
цель посещения помещений, зданий и территории
номер государственного регистрационного знака
транспортного средства
марка и модель транспортного средства
номер контактного телефона
адрес электронной почты
Оператор вправе осуществлять передачу (предоставление) моих вышеуказанных персональных данных следующим третьим
лицам:
арендодатели объектов недвижимости поставщики услуг в сфере охраны
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 3 (трех) лет.
Согласие №17. Я выражаю свое согласие на обработку с целью: (подключение) средств вычислительных средств и оргтехники,
находящихся в ведении ЗАО «Делойт и Туш СНГ», предоставления доступа к ресурсам информационных систем ЗАО «Делойт
и Туш СНГ», а также решения проблем, возникающих у пользователей в процессе работы с компьютерами (аппаратным и
программным обеспечением) и оргтехникой.
Оператор вправе осуществлять сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с использованием средств автоматизации
и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
наименование должности
наименование структурного
подразделения
наименование и адрес текущего места
трудоустройства
номер контактного телефона
контактный адрес электронной почты
идентификатор пользователя
уровень/права доступа в
информационной системе
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 6 (шести) месяцев.
Согласие №18. Я выражаю свое согласие на обработку с целью: предоставление ЗАО «Делойт и Туш СНГ» сотрудникам
служебных сервисов по использованию корпоративной стационарной и мобильной связи и по доступу к информационно-
телекоммуникационной сети «Интернет», а также обеспечение эффективного управления и контроля затрат на предоставление
данных сервисов.
Оператор вправе осуществлять сбор, включая получение от третьих лиц, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с
использованием средств автоматизации и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
наименование должности
наименование структурного подразделения
наименование и адрес текущего места трудоустройства
наименование и реквизиты (серия и номер, дата выдачи,
наименование и код выдавшего органа) документа,
удостоверяющего личность лица на территории Российской
Федерации
номер контактного телефона
международный идентификатор мобильного
оборудования (IMEI)
сетевой адрес пользовательского устройства
сведения о факте, дате, времени посещения сайтов и
их страниц в сети «Интернет»
сведения о факте, дате, времени посещения сетевых
адресов
сведения об объеме потребленного сетевого
трафика
55
адрес электронной почты
сведения о входящих и исходящих телефонных звонках (время и
дата осуществления телефонных звонков, их длительность и
адресаты)
сведения об отправленных и полученных с телефонов текстовых
сообщениях (время и дата отправки сообщений, их адресаты)
сведения о пользовательском устройстве
географический адрес точки подключения
пользователя к сети «Интернет»
Оператор вправе осуществлять передачу (предоставление), включая трансграничную передачу, моих вышеуказанных
персональных данных операторам связи.
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 3 (трех) лет.
Согласие №19. Я выражаю свое согласие на обработку с целью: и осуществление независимой проверки бухгалтерской
(финансовой) отчетности ЗАО «Делойт и Туш СНГ» в целях выражения мнения о достоверности такой отчетности.
Оператор вправе осуществлять сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с использованием средств автоматизации
и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
дата рождения
сведения об имеющемся гражданстве
наименование и реквизиты (серия и номер, дата выдачи,
наименование и код выдавшего органа) документа,
удостоверяющего личность лица на территории РФ
наименование структурного подразделения
наименование и адрес текущего места трудоустройства
образец подписи
номер контактного телефона
адрес электронной почты
сведения об источниках и размере доходов
сведения о доходах, об имуществе и
обязательствах имущественного характера
идентификатор пользователя
Оператор вправе осуществлять передачу (предоставление), включая трансграничную передачу, моих вышеуказанных
персональных данных аудиторским организациям и/или индивидуальным аудиторам.
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 3 (трех) лет.
Согласие №20. Я выражаю свое согласие на обработку с целью: организация и осуществление в ЗАО «Делойт и Туш СНГ»
внешнего и внутреннего контроля бизнес-процессов и качества оказываемых услуг на соответствие требованиям локальных и
глобальных политик и процедур сети Делойт Туш Томацу Лимитед, российского и международного законодательства, а также
применимых профессиональных стандартов.
Оператор вправе осуществлять сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с использованием средств автоматизации
и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
номер контактного телефона
адрес электронной почты
наименование должности
наименование структурного подразделения
наименование и адрес текущего места трудоустройства
сведения об участии (членстве) в профессиональных
саморегулируемых организациях и ассоциациях
наименование и реквизиты (серия и номер, дата
выдачи, наименование проводившей обучение
организации, наименование выдавшего органа)
документа о прохождении обучения (повышения
квалификации, переподготовке, аттестации)
сведения об образовании, квалификации,
специальности, переподготовке
Оператор вправе осуществлять передачу (предоставление), включая трансграничную передачу, моих вышеуказанных
персональных данных следующим третьим лицам:
компании, входящие в сеть «Делойт Туш Томацу Лимитед» контрагенты (клиенты) Оператора и их представители
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 3 (трех) лет.
Согласие №21. Я выражаю свое согласие на обработку с целью: осуществление Оператором правильного учета, надлежащего
хранения и уничтожения по истечении сроков хранения отдельных категорий материальных носителей информации.
Оператор вправе осуществлять сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (доступ), блокирование, удаление, уничтожение с использованием средств автоматизации
и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
дата рождения
сведения о месте рождения
наименование структурного подразделения
наименование и адрес текущего места трудоустройства
номер контактного телефона
56
сведения об имеющемся гражданстве
наименование и реквизиты (серия и номер, дата выдачи,
наименование и код выдавшего органа) документа,
удостоверяющего личность лица на территории Российской
Федерации
образец подписи
зарегистрированный адрес места жительства
дата регистрации по месту жительства
наименование должности
контактный адрес электронной почты
наименование и реквизиты (серия и номер, дата выдачи,
дата окончания срока действия, наименование и код
выдавшего органа) документа, удостоверяющего
личность иностранного гражданина на территории
Российской Федерации, а также при выезде и въезде в
Российскую Федерацию
Оператор вправе осуществлять передачу (предоставление) моих вышеуказанных персональных данных поставщикам услуг по
архивированию, хранению и уничтожению материальных носителей информации.
Оператор вправе поручить обработку моих вышеуказанных персональных данных Обществу с ограниченной ответственностью
«ОСГ Рекордз Менеджмент Центр» (127083, г. Москва, ул. 8 Марта, д. 14, стр. 1).
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 3 (трех) лет.
Согласие №22. Я выражаю свое согласие на обработку с целью: оптимизация процессов предоставления сведений по запросам
государственных органов.
Оператор вправе осуществлять хранение, передачу (доступ), блокирование, удаление, уничтожение с использованием средств
автоматизации и без использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
дата рождения
сведения о месте рождения
сведения об имеющемся гражданстве
наименование и реквизиты (серия и номер,
дата выдачи, наименование и код выдавшего
органа) документа, удостоверяющего
личность лица на территории Российской
Федерации
наименование и реквизиты (серия и номер,
даты начала и окончания действия,
наименование и код выдавшего органа)
документа, подтверждающего право
иностранного гражданина на временное
осуществление на территории Российской
Федерации трудовой деятельности
зарегистрированный адрес места жительства
дата регистрации по месту жительства
идентификационный номер
налогоплательщика (ИНН)
страховой номер индивидуального лицевого
счета (СНИЛС)
наименование должности
наименование структурного подразделения
сведения о наличии военной
обязанности
реквизиты (серия и номер, дата
выдачи, наименование выдавшего
органа) военного билета или
гражданина, подлежащего призыву
на военную службу
категория запаса
воинское звание
полное обозначение военно-учетной
специальности
категория годности
наименование военного
комиссариата по месту жительства
номер команды, партии воинского
учета
реквизиты (серия и номер, дата
выдачи, наименование выдавшего
органа) листов нетрудоспособности
период и причина
нетрудоспособности
номер банковского счета (или
банковской карты) и наименование
банка, где открыт данный счет
(который эмитировал данную карту)
данные о семейном положении
данные об образовании,
квалификации, специальности
сведения о размере оклада
сведения о начисленной и
удержанной заработной плате
сведения о трудовом стаже
сведения о начисленных и
уплаченных страховых взносах
сведения о премиях
сведения о периодических
выплатах
сведения о сумме
дополнительного вознаграждения
сведения о выплатах
материальной помощи и иных
компенсаций
сведения о страховом и льготном
стаже
сведения о факте, виде, периоде и
продолжительности нахождения
в отпуске
Настоящее Согласие действует со дня его подписания и до дня прекращения моих трудовых отношений с Оператором, а также
после их прекращения в течение 3 (трех) лет, в том числе в отношении обработки моих персональных данных в информационных
системах Оператора.
Я уведомлен(а) о том, что вышеуказанные Согласия №№1-22 могут быть отозваны мной в соответствии со ст.9 Федерального
закона от 27.07.2006 № 152-ФЗ «О персональных данных» путем представления письменного обращения по адресу Оператора.
Указанное письменное обращение должно содержать следующие сведения обо мне: (1) фамилия, имя, отчество; (2) адрес места
жительства; (3) наименование и номер основного документа, удостоверяющего личность; (4) сведения о дате выдачи указанного
документа и выдавшем его органе; (5) подпись.
Я уведомлен(а) о том, что в случае отзыва вышеуказанных Согласий Оператор вправе продолжить обработку моих
персональных данных без моего согласия при наличии оснований, указанных в п.п.2-11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 Федерального
закона от 27.07.2006 № 152-ФЗ «О персональных данных».
С порядком и возможными последствиями отзыва вышеуказанных Согласий ознакомлен(а).
57
12.12. Согласие субъекта персональных данных (соискателя) на обработку персональных
данных
Я, _____________________________________________________________________________________,
документ, удостоверяющий личность:____________________________ серия_____№_________________,
дата выдачи:______________ кем выдан: ______________________________________________________,
проживающий(ая) по адресу:________________________________________________________________,
действуя свободно, своей волей и в своем интересе, даю согласие ЗАО «Делойт и Туш СНГ» (далее –
Оператор) (юридический адрес: Россия, 125047, Москва, ул. Лесная, д. 5):
на сбор, включая получение от третьих лиц и из общедоступных источников, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу
(доступ), блокирование, удаление, уничтожение с использованием средств автоматизации и без
использования средств автоматизации моих нижеуказанных персональных данных:
фамилия, имя, отчество
предыдущие фамилия, имя,
отчество, если изменялись
дата рождения
сведения о месте рождения
сведения о половой
принадлежности
сведения об имеющемся
гражданстве
фотографическое
изображение лица
наименование и реквизиты
(серия и номер, дата выдачи,
наименование и код
выдавшего органа) документа,
удостоверяющего личность
лица на территории
Российской Федерации
зарегистрированный адрес
места жительства
фактический адрес места
жительства
номер контактного телефона
адрес электронной почты
реквизиты (серия и номер,
дата выдачи, наименование
выдавшего органа) трудовой
книжки
сведения о семейном
положении
сведения о количестве и
возрасте детей
сведения об образовании,
квалификации,
сведения об ученой степени,
ученом звании
наименование и реквизиты (серия
и номер, дата выдачи,
наименование выдавшего органа)
документа об образовании,
квалификации, специальности
сведения (дата, период,
наименование организации,
проводившей обучение) о
прохождении обучения
(повышения квалификации,
переподготовке)
наименование и реквизиты (серия
и номер, дата выдачи,
наименование проводившей
обучение организации,
наименование выдавшего органа)
документа о прохождении
обучения (повышения
квалификации, переподготовке,
аттестации)
наименование и адрес текущего
места учебы
сведения о профессиональных
компетенциях, знаниях и навыках
сведения о дополнительных
компетенциях, знаниях и навыках
сведения о знании и об уровне
владения иностранными языками
сведения о привлечении к
административной
ответственности;
сведения о знании и об уровне
владения программным
обеспечением
наименование должности
наименование структурного
подразделения
наименование и адрес
текущего места
трудоустройства
сведения о трудовом стаже
сведения о размере оклада
наименование мест
предыдущих трудоустройств,
а также занимаемых
должностей
сведения о периоде и
продолжительности работы в
местах предыдущих
трудоустройств
сведения о факте и дате
прекращения трудового
договора
сведения об интересах и
увлечениях
сведения о привычках и
предпочтениях
сведения о наличии права
управления транспортными
средствами
сведения о факте ведения
финансово-хозяйственной
деятельности
сведения об участии в
уставном капитале и участии
(членстве) в органах
«___» ____________ 201_ года _____________________/ ______________________________/
подпись расшифровка подписи
58
специальности,
переподготовке сведения об имущественном
положении (наличие транспортных
средств, объектов недвижимости)
управления юридических лиц,
ведущих финансово-
хозяйственную деятельность
с целью замещения вакантных должностей соискателями, наиболее полно соответствующими
требованиям Оператора, а также выяснения биографических и иных характеризующих личность данных,
Оператор вправе осуществлять передачу (предоставление), включая трансграничную передачу, моих
вышеуказанных персональных данных следующим третьим лицам:
компании, входящие в сеть «Делойт Туш Томацу
Лимитед»
поставщики услуг в сфере охраны
Оператор вправе поручить обработку моих вышеуказанных персональных данных Индивидуальному
предпринимателю Пильникову Геннадию Владимировичу (Россия, 143912, Московская обл., г. Балашиха,
ул. Первомайская, 6-31).
Настоящее Согласие действует со дня его подписания и до момента принятия решения Оператором о
соответствии моей кандидатуры требованиям для замещения вакантных должностей (трудоустройства) в
Операторе, а также в течение 6 (шести) месяцев после принятия указанного решения.
Я уведомлен(а) о том, что настоящее Согласие может быть отозвано мной в соответствии со ст.9
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» путем представления
письменного обращения по адресу Оператора. Указанное письменное обращение должно содержать
следующие сведения обо мне: (1) фамилия, имя, отчество; (2) адрес места жительства; (3) наименование
и номер основного документа, удостоверяющего личность; (4) сведения о дате выдачи указанного
документа и выдавшем его органе; (5) подпись.
Я уведомлен(а) о том, что в случае отзыва настоящего Согласия Оператор вправе продолжить
обработку моих персональных данных без моего согласия при наличии оснований, указанных в п.п.2-11
ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
С порядком и возможными последствиями отзыва настоящего Согласия ознакомлен(а).
«___» ____________ 201_ года
___________________/ ______________________________/
подпись расшифровка подписи
59
12.13. Разъяснение субъекту (представителю субъекта) ПДн последствий отказа от
предоставления своих ПДн
Разъяснение субъекту (представителю субъекта) персональных данных последствий отказа от
предоставления своих персональных данных в связи с [указывается цель предоставления
субъектом своих персональных данных]
В случае отказа от предоставления своих персональных данных ЗАО «Делойт и Туш СНГ», обязательное
предоставление которых предусмотрено в соответствии с [указать положения и реквизиты
нормативного правового акта], то в соответствии с частью 2 статьи 18 Федерального закона от 27 июля
2006 года № 152-ФЗ «О персональных данных» Вам должны быть разъяснены следующие юридические
последствия отказа от предоставления персональных данных:
___________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
(перечень последствий)
Я, _____________________________________________________________________________________,
документ, удостоверяющий личность:____________________________ серия_____№_________________,
дата выдачи:______________ кем выдан: ______________________________________________________,
проживающий(ая) по адресу:________________________________________________________________,
в лице моего представителя (если есть): _______________________________________________________,
документ, удостоверяющий личность:____________________________ серия_____№_________________,
дата выдачи:______________ кем выдан: ______________________________________________________,
проживающего по адресу:________________________________________________________________,
действующего на основании:_________________________________________________________________,
с юридическими последствиями отказа от предоставления персональных данных ознакомлен.
«__» ________ 201_ года ________________/ ______________________ /
(подпись) (расшифровка подписи)
60
12.14. Бланк запроса субъекта (представителя субъекта) ПДн на доступ, уточнение,
блокирование или уничтожение ПДн
Я, _____________________________________________________________________________________,
документ, удостоверяющий личность:____________________________ серия_____№_________________,
дата выдачи:______________ кем выдан: ______________________________________________________,
проживающий(ая) по адресу:________________________________________________________________,
в лице моего представителя (если есть): _______________________________________________________,
документ, удостоверяющий личность:____________________________ серия_____№_________________,
дата выдачи:______________ кем выдан: ______________________________________________________,
проживающего по адресу:________________________________________________________________,
действующего на основании:_________________________________________________________________,
Сведения, подтверждающие мое участие в отношениях с ЗАО «Делойт и Туш СНГ», либо сведения, иным
образом подтверждающие факт обработки персональных данных ЗАО «Делойт и Туш СНГ»:
___________________________________________________________________________________
(номер договора, дата заключения договора)
__________________________________________________________________________________________
(условное словесное обозначение и (или) иные сведения)
прошу предоставить следующую информацию об обработке персональных данных в ЗАО «Делойт и Туш
СНГ»:
подтверждение факта обработки персональных данных;
правовые основания и цели обработки персональных данных;
обрабатываемые персональные данные, источник их получения;
иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных
данных» или другими федеральными законами, а именно ____________________.
прошу [уточнить, блокировать, уничтожить – нужное подчеркнуть] следующие персональные данные,
обрабатываемые в ЗАО «Делойт и Туш СНГ»: _____________________________________________,
(перечень уточняемых, блокируемых или уничтожаемых данных)
в связи с тем, что они являются:
неполными;
устаревшими;
недостоверными;
незаконно полученными;
не являются необходимыми для заявленной цели обработки.
Блокировать данные прошу (заполняется только при требовании блокировки обрабатываемых
персональных данных) до [уточнения; уничтожения – нужное подчеркнуть].
При уточнении прошу использовать следующую информацию (заполняется только при требовании
уточнения обрабатываемых персональных данных): _________________________________________.
Ответ на запрос прошу отправить по адресу: ___________________________________________________.
«__» ________ 201_ года ________________/ ______________________ /
(подпись) (расшифровка подписи)
61
12.15. Бланк ответа на запрос субъекта (представителя субъекта) ПДн о доступе,
уточнении, блокировании или уничтожении ПДн
Уважаемый(ая)
____________________________________________________________________________,
(фамилия, имя, отчество субъекта или представителя субъекта)
настоящим уведомляем Вас о том, что ЗАО «Делойт и Туш СНГ» подтверждает обработку следующих
персональных данных: _______________________________________________________, принадлежащих
[Вам/фамилия, имя, отчество субъекта – если уведомляется его представитель].
Персональные данные получены от: ______________________________________________________.
Цель(и) обработки персональных данных: ________________________________________________.
Способ(ы) обработки персональных данных: ______________________________________________.
Лицо(а), имеющее(ие) доступ к персональным данным: _____________________________________.
Срок обработки персональных данных: __________________________________________________.
Срок хранения персональных данных: ___________________________________________________.
Обработка вышеуказанных персональных данных не порождает юридических последствий в отношении
Вас.
настоящим уведомляем Вас о том, что ЗАО «Делойт и Туш СНГ» отказывает Вам в предоставлении
сведений по Вашему запросу согласно части 8 статьи 14 Федерального закона от 27 июля 2006 года №
152-ФЗ «О персональных данных».
Основания для отказа в предоставлении сведений по запросу субъекта (представителя субъекта)
персональных данных (выбрать соответствующий пункт):
доступ субъекта (представителя субъекта) персональных данных к его персональным данным
нарушает права и законные интересы третьих лиц;
запрос составлен некорректно.
Дополнительная информация13: ________________________________________________________.
настоящим уведомляем Вас о том, что ЗАО «Делойт и Туш СНГ» [уточнило; блокировало; уничтожило;
отказало в уточнении; отказало в блокировании; отказало в уничтожении – выбрать нужное]
следующие(их) персональные(ых) данные(ых) субъекта _______________________________:
(если уведомляется представитель субъекта, то указываются фамилия, имя, отчество субъекта)
_________________________________________________________________________________________,
(указывается перечень персональных данных)
в соответствии с ___________________________________________________________________________,
(указывается дата поступления и предмет запроса)
на основании _____________________________________________________________________________.
(персональные данные были неполными, недостоверными, устаревшими и т.д. или указать иную причину отказа)
Документ выдал ______________________________________________/_______________________
(ФИО, наименование должности сотрудника выдавшего документ) (подпись)
«__» ________ 201_ года
13 Пункт содержит разъяснение (при необходимости) субъекту ПДн причины отказа в предоставлении сведений.
62
12.16. Бланк уведомления субъекта (представителя субъекта) о начале обработки его ПДн
Уважаемый(ая) ______________________________________________, настоящим уведомляем Вас о том,
(фамилия, имя, отчество субъекта или представителя субъекта)
что ЗАО «Делойт и Туш СНГ», расположенное по адресу Россия, 125047, Москва, ул. Лесная, д. 5,
приступило к обработке персональных данных, принадлежащих [Вам/фамилия, имя, отчество субъекта
– если уведомляется его представитель], в следующем составе:_____________________
_________________,
Персональные данные получены от: __________________________________________________________
на основании _____________________________________________________________________________.
(номер договора или номер доверенности)
Целями обработки персональных данных являются: ____________________________________________.
Способ(ы) обработки персональных данных : __________________________________________________.
Для достижения целей обработки к персональным данным имеют доступ: _________________________.
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее
– 152-ФЗ) ЗАО «Делойт и Туш СНГ» относительно вышеуказанных персональных данных является
[оператором; лицом, осуществляющим обработку персональных данных по поручению оператора –
нужное выбрать].
Настоящим также уведомляем Вас о том, что согласно статье 14 152-ФЗ Вы имеете право требовать от
оператора:
1. предоставить при обращении или запросе следующую информацию:
подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора),
которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на
основании договора с оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных,
источник их получения, если иной порядок представления таких данных не предусмотрен федеральным
законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных 152-ФЗ;
информацию об осуществленной или о планируемой к осуществлению трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных
по поручению оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные 152-ФЗ или другими федеральными законами.
2. уточнить, блокировать или уничтожить персональные данные, если они являются неполными,
устаревшими, недостоверными, незаконно полученными или не являются необходимыми для
заявленной цели обработки.
На основании статьи 17 152-ФЗ, если Вы считаете, что оператор осуществляет обработку персональных
данных с нарушением требований 152-ФЗ или иным образом нарушает права и свободы субъекта
персональных данных, Вы вправе обжаловать действия или бездействие оператора в уполномоченном
органе по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
Документ выдал ______________________________________________/_______________________
(ФИО, наименование должности сотрудника выдавшего документ) (подпись)
«__» ________ 201_ года
63
12.17. Бланк уведомления уполномоченного органа об устранении нарушений при
обработке ПДн
Настоящим доводим до сведения ____________________________________________________________
_______________________________________________________________, что в соответствии
(наименование органа федерального государственного контроля (надзора))
с предписанием об устранении выявленных нарушений _____________ от «__»__________201_ года.
(номер предписания)
ЗАО «Делойт и Туш СНГ» предприняты следующие действия для устранения выявленных нарушений:
№ Описание нарушения и действий по его устранению
1
Содержание нарушения
Срок устранения нарушения:
Предпринятые действия по устранению нарушения
Дата устранения нарушения:
2
Содержание нарушения
Срок устранения нарушения:
Предпринятые действия по устранению нарушения
Дата устранения нарушения:
Таким образом, доводим до вашего сведения, что все выявленные нарушения устранены полностью и в
срок.
Документ составил: ______________________________________________/_______________________
(ФИО, наименование должности сотрудника выдавшего документ) (подпись)
«__» ________ 201_ года
64
12.18. Соглашение о поручении обработки ПДн между резидентами РФ
Соглашение о поручении обработки персональных данных
Г. Москва «__» ________ 201_ года
ЗАО «Делойт и Туш СНГ»14, именуемое в дальнейшем «Оператор», в лице [Ф.И.О.
уполномоченного лица], действующего на основании [наименование основания], с одной стороны, и
[наименование контрагента], именуемое в дальнейшем «Обработчик», в лице [Ф.И.О. уполномоченного
лица], действующего на основании [наименование основания], с другой стороны, в дальнейшем
именуемые совместно «Стороны», в соответствии с требованиями части 3 статьи 6 Федерального закона
от 27.07.2006 № 152-ФЗ «О персональных данных» договорились о нижеследующем:
1. Оператор поручает Обработчику обработку персональных данных [с целью или в целях: перечень
целей обработки ПДн]. Обработчик вправе осуществлять с персональными данными такие действия
как [сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передача (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение – выбрать необходимый перечень действий] с
[использованием средств автоматизации и без использования средств автоматизации].
2. Обработчик обязуется обеспечивать конфиденциальность и безопасность персональных данных при
их обработке по данному поручению Оператора, а также обязуется выполнять следующие требования
к защите персональных данных, обрабатываемых в соответствии с настоящим Соглашением:
(1) установить перечень лиц, допущенных к обработке персональных данных[, в том числе] [в
информационных системах персональных данных,]15 и ограничить доступ к персональным
данным для иных лиц;
(2) организовать режим безопасности помещений, в которых [осуществляется обработка
персональных данных] [и (или) размещены информационные системы персональных данных];
(3) определить места хранения материальных носителей персональных данных, а также обеспечить
учет и сохранность материальных носителей персональных данных;
(4) обеспечить восстановление персональных данных, модифицированных или уничтоженных
вследствие несанкционированного доступа к ним;
(5) [установить правила доступа к персональным данным, обрабатываемым в информационных
системах персональных данных;]16
(6) [применять прошедшие процедуру оценки соответствия средства защиты информации, в
случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;]
(7) [назначить лицо, ответственное за обеспечение безопасности персональных данных при их
обработке в информационной системе персональных данных;]
(8) [ограничить доступ к содержанию электронного журнала сообщений информационных систем
персональных данных;]
(9) [по требованию Оператора, но не чаще чем один раз в квартал, предоставлять ему
возможность проведения проверки состояния безопасности обрабатываемых в рамках данного
поручения персональных данных и принимаемых Обработчиком мер по обеспечению
14 Если обработка ПДн поручается ЗАО «Делойт и Туш СНГ» от имени третьего лица, то содержание соглашения о
таком поручении целесообразно ограничить только пунктами 1-3 и 8-9 (с обязательным указанием в пункте 3 на
право ЗАО «Делойт и Туш СНГ» перепоручить обработку ПДн). Тем самым будет достигнуто снижение
юридических рисков ЗАО «Делойт и Туш СНГ» как Обработчика ПДн. 15 Подпункты 1 и 2 должны быть представлены в полном объеме, если Обработчик обрабатывает ПДн в ИСПДн. 16 Подпункты 5 и 6 применимы для всех УЗ; подпункт 7 применим для 3-го и 2-го УЗ; подпункт 8 применим для 2-
го УЗ; наличие 1-го УЗ не рассматривается в виду малой вероятности (неактуальности угроз 1-го и 2-го типа).
65
безопасности персональных данных, а также оказывать содействие и не препятствовать при
проведении проверки.]17
3. Обработчик обязуется осуществить обработку персональных данных в рамках данного поручения
лично, [без привлечения третьих лиц | либо по согласованию с Оператором и на условиях,
предусмотренных данным поручением, привлечь к обработке (перепоручить обработку)
персональных данных третьих лиц, оставаясь ответственным перед Оператором за выполнение
своих обязательств по данному поручению].
4. [Обработчик обязуется осуществлять или обеспечить осуществление сбора и последующей
обработки (запись, систематизация, накопление, хранение, уточнение (обновление, изменение),
извлечение) персональных данных граждан Российской Федерации с использованием баз данных,
находящихся на территории Российской Федерации.]18
5. Обработчик обязуется в трёхдневный срок надлежащим образом уведомлять Оператора о следующих
событиях:
(1) получение Обработчиком запроса субъекта (представителя субъекта) персональных данных на
доступ, уточнение, блокирование или уничтожение его персональных данных, обрабатываемых
Обработчиком в рамках данного поручения;
(2) получение Обработчиком запроса уполномоченного органа государственной власти (в том числе
Роскомнадзора, ФСТЭК России, ФСБ России, Прокуратуры РФ) в отношении надлежащей
организации обработки и обеспечения безопасности персональных данных, обрабатываемых
Обработчиком в рамках данного поручения;
(3) обнаружение факта нарушения конфиденциальности или подозрение о нарушении
конфиденциальности и безопасности обработки персональных данных, обрабатываемых
Обработчиком в рамках данного поручения.
6. Обработчик обязуется в трёхдневный срок по требованию Оператора в отношении определённых в
этом требовании персональных данных, обрабатываемых Обработчиком в рамках данного
поручения, проводить их блокирование, удаление, уничтожение, уточнение, обезличивание или
предоставление.
7. Обработчик обязуется возместить Оператору убытки в размере причиненного и документально
подтвержденного реального ущерба, причиненного Оператору вследствие нарушения по вине
Обработчика конфиденциальности и (или) безопасности персональных данных, обрабатываемых
Обработчиком в рамках данного поручения.
8. Настоящее Соглашение вступает в силу с момента его подписания обеими Сторонами и утрачивает
свою силу:
(1) с момента, предусмотренного взаимным соглашением Сторон;
(2) по истечении семи дней с момента получения Обработчиком письменного уведомления от
Оператора о прекращении действия настоящего Соглашения и о требовании прекратить
обработку персональных данных, обрабатываемых Обработчиком в рамках данного поручения.
9. Настоящее Соглашение составлено в двух экземплярах на русском языке, имеющих равную
юридическую силу, по одному для каждой из Сторон.
Реквизиты и подписи Сторон:
17 Данный пункт необходим в случае, если Обработчику поручается обработка критически важных ПДн и (или) если
у Оператора есть сомнения в способности Обработчика выполнить свои обязательства надлежащим образом. 18 Не требуется, если Обработчику не поручается сбор, запись, систематизация, накопление, хранение, уточнение
(обновление, изменение), извлечение ПДн граждан РФ с использованием БД (средств автоматизации).
66
12.19. Соглашение о поручении обработки ПДн между резидентом и нерезидентом РФ
Соглашение
о поручении обработки персональных данных
от «__» ________ 201_ года
ЗАО «Делойт и Туш СНГ»19, созданное и
действующее в соответствии с законодательством
Российской Федерации, именуемое в дальнейшем
«Оператор», в лице [Ф.И.О. уполномоченного
лица], действующего на основании [наименование
основания], с одной стороны, и [наименование
контрагента], созданное и действующее в
соответствии с законодательством [наименование
иностранного государства], именуемое в
дальнейшем «Обработчик», в лице [Ф.И.О.
уполномоченного лица], действующего на
основании [наименование основания], с другой
стороны, в дальнейшем именуемые совместно
«Стороны», в соответствии с требованиями части
3 статьи 6 Федерального закона от 27.07.2006 №
152-ФЗ «О персональных данных» договорились о
нижеследующем:
1. Оператор поручает Обработчику обработку
персональных данных [с целью или в целях:
перечень целей обработки ПДн]. Обработчик
вправе осуществлять с персональными
данными такие действия как [сбор, запись,
систематизация, накопление, хранение,
уточнение (обновление, изменение), извлечение,
использование, передача (распространение,
предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение –
выбрать необходимый перечень действий] с
[использованием средств автоматизации и без
использования средств автоматизации].
2. Обработчик обязуется обеспечивать
конфиденциальность и безопасность
персональных данных при их обработке по
данному поручению Оператора, а также
обязуется выполнять следующие требования к
защите персональных данных, обрабатываемых
в соответствии с настоящим Соглашением:
(1) установить перечень лиц, допущенных к
обработке персональных данных[, в том
числе] [в информационных системах
Agreement
on the entrusting of personal data processing
dated ________ «__» 201_
ZAO Deloitte & Touche CIS, established and
operating in accordance with the legislation of the
Russian Federation, hereinafter referred to as the
“Operator”, represented by [the full name of the
authorized person], acting under [the basis of
authority], on the one hand, and [the name of the
counterparty], established and operating in
accordance with the legislation of [the name of the
foreign state], hereinafter referred to as the “Handler”,
represented by [the full name of the authorized
person], acting under [the basis of authority], on the
other hand, hereinafter jointly referred to as the
“Parties”, in accordance with part 3 Article 6 of
Federal Law of the Russian Federation dated July 27,
2006 № 152-FZ “On Personal Data” have agreed as
follows:
1. The Operator entrusts the processing of personal
data to the Handler [for the purpose or in order to:
a list of purposes of personal data processing].
Handler is entitled to carry out such actions with
personal data as [collection, recording,
systematization, accumulation, storing,
clarification (updating, editing), extraction, use,
transfer (distribution, provision, access),
depersonalization, blocking, deletion, destruction
– select the desired list of action] with [the usage
of automation and without automation tools].
2. The Handler undertakes to ensure the
confidentiality and security of personal data
during their processing in the framework of this
order and agrees to comply with the following
requirements for the protection of personal data
processed in accordance with this Agreement:
(1) determine the list of persons admitted to the
processing of personal data[, including] [in
information systems of personal data,] and to
restrict access to personal data to other
persons;
19 Если обработка ПДн поручается ЗАО «Делойт и Туш СНГ» от имени третьего лица, то содержание соглашения о
таком поручении целесообразно ограничить только пунктами 1-3 и 8-9 (с обязательным указанием в пункте 3 на
право ЗАО «Делойт и Туш СНГ» перепоручить обработку ПДн). Тем самым будет достигнуто снижение
юридических рисков ЗАО «Делойт и Туш СНГ» как Обработчика ПДн.
67
персональных данных,]20 и ограничить
доступ к персональным данным для иных
лиц;
(2) организовать режим безопасности
помещений, в которых [осуществляется
обработка персональных данных] [и (или)
размещены информационные системы
персональных данных];
(3) определить места хранения
материальных носителей персональных
данных, а также обеспечить учет и
сохранность материальных носителей
персональных данных;
(4) обеспечить восстановление
персональных данных,
модифицированных или уничтоженных
вследствие несанкционированного
доступа к ним;
(5) [установить правила доступа к
персональным данным, обрабатываемым
в информационных системах
персональных данных;]21
(6) [применять средства защиты
информации, в случае, когда применение
таких средств необходимо для
нейтрализации актуальных угроз;]
(7) [назначить лицо, ответственное за
обеспечение безопасности персональных
данных при их обработке в
информационной системе персональных
данных;]
(8) [ограничить доступ к содержанию
электронного журнала сообщений
информационных систем персональных
данных;]
(9) [по требованию Оператора, но не чаще
чем один раз в квартал, предоставлять
ему возможность проведения проверки
состояния безопасности
обрабатываемых в рамках данного
поручения персональных данных и
принимаемых Обработчиком мер по
обеспечению безопасности персональных
данных, а также оказывать содействие
и не препятствовать при проведении
проверки.]22
(2) organize the security regime of facilities, in
which [the processing of personal data is
carried out] [and (or) information systems of
personal data are placed];
(3) determine the places of storing of material
carriers of personal data, as well to ensure the
integration and preservation of material
carriers of personal data;
(4) ensure the restoration of personal data,
modified or destroyed as a result of
unauthorized access to them;
(5) [set rules for access to personal data,
processed in information systems of personal
data;]
(6) [apply means of information protection in
case, when the application of such tools is
necessary to neutralize the urgent threats;]
(7) [designate a person responsible for ensuring
the security of personal data during their
processing in information systems of
personal data;]
(8) [restrict access to the content of electronic
message log of information systems of
personal data;]
(9) [at the request of the Operator, but not more
often than once per quarter, to provide him
the opportunity to conduct safety audits of the
security of personal data which is processed
in the framework of this order, as well as to
assist and not to interfere during the audit.]
20 Подпункты 1 и 2 должны быть представлены в полном объеме, если Обработчик обрабатывает ПДн в ИСПДн. 21 Подпункты 5 и 6 применимы для всех УЗ; подпункт 7 применим для 3-го и 2-го УЗ; подпункт 8 применим для 2-
го УЗ; наличие 1-го УЗ не рассматривается в виду малой вероятности (неактуальности угроз 1-го и 2-го типа). 22 Данный пункт необходим в случае, если Обработчику поручается обработка критически важных ПДн и (или) если
у Оператора есть сомнения в способности Обработчика выполнить свои обязательства надлежащим образом.
68
3. Обработчик обязуется осуществить обработку
персональных данных в рамках данного
поручения лично, [без привлечения третьих лиц
/ либо по согласованию с Оператором и на
условиях, предусмотренных данным
поручением, привлечь к обработке
(перепоручить обработку) персональных
данных третьих лиц, оставаясь
ответственным перед Оператором за
выполнение своих обязательств по данному
поручению].
4. [Обработчик обязуется осуществлять или
обеспечить осуществление сбора и
последующей обработки (запись,
систематизация, накопление, хранение,
уточнение (обновление, изменение), извлечение)
персональных данных граждан Российской
Федерации с использованием баз данных,
находящихся на территории Российской
Федерации.]23
5. Обработчик обязуется в трёхдневный срок
надлежащим образом уведомлять Оператора о
следующих событиях:
(1) получение Обработчиком запроса субъекта
(представителя субъекта) персональных
данных на доступ, уточнение,
блокирование или уничтожение его
персональных данных, обрабатываемых
Обработчиком в рамках данного
поручения;
(2) получение Обработчиком запроса
уполномоченного органа государственной
власти Российской Федерации или иного
государства в отношении надлежащей
организации обработки и обеспечения
безопасности персональных данных,
обрабатываемых Обработчиком в рамках
данного поручения;
(3) обнаружение факта нарушения
конфиденциальности или подозрение о
нарушении конфиденциальности и
безопасности обработки персональных
данных, обрабатываемых Обработчиком в
рамках данного поручения.
6. Обработчик обязуется в трёхдневный срок по
требованию Оператора в отношении
определённых в этом требовании персональных
данных, обрабатываемых Обработчиком в
рамках данного поручения, проводить их
3. The Handler undertakes to carry out the
processing of personal data in the framework of
this order personally, [without involvement of the
third parties /or by agreement with the Operator
and on the conditions provided by this order, to
attract to processing (reassign processing) of
personal data of the third parties, remaining liable
to the operator for the fulfillment of its obligations
under the order].
4. [The Handler undertakes to carry out or to ensure
the implementation of the collection and
subsequent processing (recording,
systematization, accumulation, storing,
clarification (updating, editing), extracting) of
personal data of citizens of the Russian Federation
with the use of databases located in the territory
of the Russian Federation.]
5. The Handler undertakes within three days to duly
inform the Operator about the following events:
(1) Receiving by the Handler of personal data
subject’s (personal data subject’s
representative) request to access, update,
block or deletion of his personal data,
processed by the Handler in the framework of
this order;
(2) Receiving by the Handler of authorized
body’s of the Russian Federation or of
another state power request with regard to the
proper organization of the processing and
security of personal data process by the
Handler in the framework of this order;
(3) Detection of a violation of confidentiality or
suspected breach of confidentiality and
security of processing of personal data,
processed by the Handler in the framework of
this order.
6. The Handler undertakes at the request of the
Operator to carry out blocking, deletion,
destruction, clarification, depersonalization or
provision of certain personal data within three
23 Не требуется, если Обработчику не поручается сбор, запись, систематизация, накопление, хранение, уточнение
(обновление, изменение), извлечение ПДн граждан РФ с использованием БД (средств автоматизации).
69
блокирование, удаление, уничтожение,
уточнение, обезличивание или предоставление.
7. Обработчик обязуется возместить Оператору
убытки в размере причиненного и
документально подтвержденного реального
ущерба, причиненного Оператору вследствие
нарушения по вине Обработчика
конфиденциальности и (или) безопасности
персональных данных, обрабатываемых
Обработчиком в рамках данного поручения.
8. Настоящее Соглашение вступает в силу с
момента его подписания обеими Сторонами и
утрачивает свою силу:
(1) с момента, предусмотренного взаимным
соглашением Сторон;
(2) по истечении семи дней с момента
получения Обработчиком письменного
уведомления от Оператора о прекращении
действия настоящего Соглашения и о
требовании прекратить обработку
персональных данных, обрабатываемых
Обработчиком в рамках данного
поручения.
9. Настоящее Соглашение составлено в двух
экземплярах на русском языке, имеющих
равную юридическую силу, по одному для
каждой из Сторон. В случае разногласий между
русской и английской версией Соглашения,
русская версия Соглашения является
преимущественной.
Реквизиты и подписи Сторон:
days during personal data processing in the
framework of this order.
7. The Handler shall compensate the Operator for
any losses caused to the latter as a result of breach
of personal data confidentiality and (or) security
that occurred through the fault of the Handler
during personal data processing in the framework
of this order. Such losses will be compensated in
the amount of documented real damage.
8. This Agreement comes into force upon signing by
both Parties and ceases to be in force:
(1) From the time provided by mutual agreement
of the Parties;
(2) Seven days after the receipt of written notice
from the Operator by the Handler to terminate
this Agreement and the requirement to
terminate the processing of personal data
which is processed by the Handler in the
framework of this order.
9. The Agreement is executed in Russian and in
English in two copies, one for each Party. In case
of any differences between the Russian and the
English versions, the Russian version shall
prevail.
Details of the Parties:
70
12.20. Соглашение о передаче ПДн между резидентами РФ
Соглашение о передаче персональных данных
Г. Москва «__» ________ 201_ года
ЗАО «Делойт и Туш СНГ», в лице [Ф.И.О. уполномоченного лица организации], действующего на
основании [наименование основания], с одной стороны, и [наименование контрагента], в лице [Ф.И.О.
уполномоченного лица третьего лица], действующего на основании [наименование основания], с другой
стороны, в дальнейшем именуемые совместно «Стороны», а по отдельности – «Сторона», в соответствии
с требованиями части 1 статьи 6, статьи 7, части 4 статьи 18 и части 1 статьи 19 Федерального закона от
27.07.2006 № 152-ФЗ «О персональных данных» договорились о нижеследующем:
1. Стороны обязуются обеспечивать правомерную передачу персональных данных друг другу, которая
может осуществляться в целях выполнения Сторонами своих обязательств по заключенным или
заключаемым между Сторонами договорам и соглашениями.
2. Передающая Сторона на основании соответствующего запроса, поступившего от получающей
Стороны, предоставляет получающей Стороне подтверждение либо факта получения согласия
субъектов на осуществление передачи их персональных данных, либо подтверждение наличия иных
законных оснований для осуществления передачи персональных данных субъектов и подтверждение
факта надлежащего уведомления субъектов о передаче их персональных данных.
3. Стороны обязуются обеспечивать конфиденциальность и безопасность передаваемых друг другу
персональных данных при их обработке.
4. Получающая сторона имеет право привлекать третьих лиц к обработке полученных персональных
данных в предусмотренных настоящим Соглашением целях без дополнительного согласия
передающей Стороны при условии обеспечения указанными третьими лицами конфиденциальности
и безопасности персональных данных при обработке. Получающая сторона обязана по запросу
передающей Стороны предоставить сведения о привлекаемых к обработке персональных данных
третьих лицах, а также сведения о том, какие персональные данные, каких субъектов и в каких целях
были переданы третьим лицам.
5. Одна Сторона обязуется возместить другой Стороне убытки в размере причиненного и
документально подтвержденного реального ущерба, причиненного этой Стороне вследствие
нарушения по вине другой Стороны конфиденциальности и (или) безопасности передаваемых ей
персональных данных при их обработке.
6. Настоящее Соглашение вступает в силу с момента его подписания обеими Сторонами и будет
действовать бессрочно. Настоящее Соглашение может быть расторгнуто по взаимному соглашению
Сторон.
7. Настоящее Соглашение составлено в двух экземплярах на русском языке, имеющих равную
юридическую силу, по одному для каждой из Сторон.
Реквизиты и подписи Сторон:
71
12.21. Соглашение о передаче ПДн между резидентом и нерезидентом РФ
Соглашение
о передаче персональных данных
от «__» ________ 201_ года
ЗАО «Делойт и Туш СНГ», созданное и
действующее в соответствии с законодательством
Российской Федерации, в лице [Ф.И.О.
уполномоченного лица организации],
действующего на основании [наименование
основания], с одной стороны, и [наименование
контрагента], созданное и действующее в
соответствии с законодательством [наименование
иностранного государства], в лице [Ф.И.О.
уполномоченного лица третьего лица],
действующего на основании [наименование
основания], с другой стороны, в дальнейшем
именуемые совместно «Стороны», а по
отдельности – «Сторона», в соответствии с
требованиями применимого национального
законодательства Российской Федерации и
[наименование иностранного государства] в
области персональных данных договорились о
нижеследующем:
1. Стороны обязуются обеспечивать
правомерную передачу (включая
трансграничную передачу) персональных
данных друг другу, которая может
осуществляться в целях выполнения
Сторонами своих обязательств по
заключенным или заключаемым между
Сторонами договорам и соглашениями.
2. Передающая Сторона на основании
соответствующего запроса, поступившего от
получающей Стороны, предоставляет
получающей Стороне подтверждение либо
факта получения согласия субъектов на
осуществление передачи их персональных
данных, либо подтверждение наличия иных
законных оснований для осуществления
передачи персональных данных субъектов и
подтверждение факта надлежащего
уведомления субъектов о передаче их
персональных данных.
3. Стороны обязуются обеспечивать
конфиденциальность и безопасность
передаваемых друг другу персональных
данных при их обработке в соответствии с
требованиями применимого национального
законодательства Российской Федерации и
Agreement
on personal data transfer
dated ________ «__» 201_
ZAO Deloitte & Touche CIS, established and
operating in accordance with the legislation of the
Russian Federation, represented by [the full name of
the authorized person], acting under [the basis of
authority], on the one hand, and [the name of the
counterparty], established and operating in
accordance with the legislation of [the name of the
foreign state], represented by [the full name of the
authorized person], acting under [the basis of
authority], on the other hand, hereinafter jointly
referred to as the “Parties”, and separately – as the
“Party”, in accordance with requirements of
applicable national personal data legislation of the
Russian Federation and [the name of the foreign state]
have agreed as follows:
1. The Parties shall ensure lawful transfer (including
cross-border transfer) of personal data to each
other, as may be required for fulfillment of their
obligations under agreements that have been
concluded or will be concluded between the
Parties.
2. The transferring Party, on the basis of the
respective inquiry received from the receiving
Party, shall confirm to the receiving Party that it
has obtained consents of personal data subjects for
transfer of their personal data, or that the
transferring Party has other legal grounds for the
personal data transfer and it has duly notified the
subjects about transfer of their personal data.
3. The Parties shall maintain confidentiality and
security of the transferred to each other personal
data during its processing in accordance with
requirements of the applicable national data
protection legislation of the Russian Federation
and [the name of the foreign state].
72
[Наименование иностранного государства] в
области персональных данных.
4. Одна Сторона обязуется возместить другой
Стороне убытки в размере причиненного и
документально подтвержденного реального
ущерба, причиненного этой Стороне
вследствие нарушения по вине другой Стороны
конфиденциальности и (или) безопасности
передаваемых ей персональных данных при их
обработке.
5. Настоящее Соглашение вступает в силу с
момента его подписания обеими Сторонами и
будет действовать бессрочно. Настоящее
Соглашение может быть расторгнуто по
взаимному соглашению Сторон.
6. Настоящее Соглашение составлено в двух
экземплярах на русском и английском языке,
имеющих равную юридическую силу, по
одному для каждой из Сторон. В случае
разногласий между русской и английской
версией Соглашения, русская версия
Соглашения является преимущественной.
Реквизиты и подписи Сторон:
4. Each Party shall compensate the other Party for
any losses caused to the latter as a result of breach
of personal data confidentiality and (or) security
that occurred through the fault of the former during
the processing of personal data received from the
latter. Such losses will be compensated in the
amount of documented real damage.
5. The Agreement shall enter into force when signed
by both Parties and remain in force without limit
of time. This Agreement can be terminated by
mutual agreement of the Parties.
6. The Agreement is executed in Russian and in
English in two copies, one for each Party. In case
of any differences between the Russian and the
English versions, the Russian version shall prevail.
Details of the Parties:
73
12.22. План внутренних проверок состояния организации обработки и обеспечения
безопасности ПДн
№ Наименование мероприятия Ответственные исполнители Периодичность
1
Проведение аудита соответствия обработки
персональных данных в структурных
подразделениях законодательству о
персональных данных
Комиссия Раз в год
2
Проверка актуальности и соответствия
законодательству имеющихся
организационно-распорядительных
документов в области обработки
персональных данных
Комиссия
Раз в год или по мере
обновления
законодательства
3 Проверка актуальности перечня
обрабатываемых персональных данных Комиссия Раз в год
4
Проверка актуальности перечня
информационных систем персональных
данных
Лицо, ответственное за
обеспечение безопасности
персональных данных в ИСПДн
Раз в год
5
Проверка актуальности перечня лиц,
участвующих в обработке персональных
данных
Лицо, ответственное за
организацию обработки
персональных данных
Раз в год
6
Проверка актуальности прав разграничения
доступа пользователей информационных
систем персональных данных, необходимых
для выполнения должностных обязанностей
Лицо, ответственное за
обеспечение безопасности
персональных данных в ИСПДн
Раз в года
7
Проверка актуальности предоставленной в
уполномоченный орган информации об
обработке персональных данных
Лицо, ответственное за
организацию обработки
персональных данных
Раз в год
8
Проверка знания сотрудниками
законодательства о персональных данных,
порядка обработки персональных данных и
поддержания режима защиты персональных
данных
Лицо, ответственное за
организацию обработки
персональных данных
Раз в год
9
Проверка состояния технических мер по
защите персональных данных в соответствии с
законодательством о персональных данных
Лицо, ответственное за
обеспечение безопасности
персональных данных в ИСПДн
Раз в год
10
Проверка состояния мер по соблюдению прав
субъектов персональных данных в
соответствии с законодательством о
персональных данных
Комиссия Раз в год
74
12.23. Оценка вреда, который может быть причинен субъектам ПДн, а также соотношение
возможного вреда субъектам ПДн и реализуемых Оператором мер
№ Требования 152-ФЗ, которые
могут быть нарушены
Оператором и причинить вред
субъекту ПДн
Форма
возможног
о вреда
Оценка
уровня
возможно
го вреда
Принимаемые Оператором меры по
обеспечению выполнения обязанностей,
предусмотренных 152-ФЗ
1 ч.2 ст.5: Обработка ПДн должна
ограничиваться достижением
конкретных, заранее
определенных и законных целей.
моральный
вред
С Цели обработки ПДн закреплены в
«Политике в отношении организации
обработки и обеспечения безопасности
ПДн» Оператора и в договорах,
регламентирующими правоотношения
Оператора с третьими лицами.
2 ч.3 ст.5: Не допускается
объединение БД, содержащих
ПДн, обработка которых
осуществляется в целях,
несовместимых между собой.
убытки,
моральный
вред
Н Соответствующие нормы закреплены в
«Положении об организации обработки и
обеспечении безопасности ПДн»
Оператора.
3 ч.4 ст.5: Обработке подлежат
только ПДн, которые отвечают
целям их обработки.
моральный
вред
С Перечень ПДн, обрабатываемых
Оператором, закреплен в локальном акте
Оператора.
4 ч.5 ст.5: Содержание и объем
обрабатываемых ПДн должны
соответствовать заявленным
целям обработки.
моральный
вред
С Содержание и объем обрабатываемых
персональных определены в «Положении
об организации обработки и обеспечении
безопасности ПДн» Оператора.
5 ч.6 ст.5: При обработке ПДн
должны быть обеспечены
точность ПДн, их достаточность,
а в необходимых случаях и
актуальность по отношению к
целям обработки ПДн.
убытки,
моральный
вред
Н Соответствующие нормы закреплены в
«Политике в отношении организации
обработки и обеспечения безопасности» и
в «Положении об организации обработки и
обеспечении безопасности ПДн»
Оператора.
6 ч.7 ст.5: Хранение ПДн должно
осуществляться в форме,
позволяющей определить
субъекта ПДн, не дольше, чем
этого требуют цели обработки
ПДн, если срок хранения ПДн не
установлен федеральным
законом, договором, стороной
которого, выгодоприобретателем
или поручителем, по которому
является субъект ПДн.
моральный
вред
В Соответствующие нормы закреплены в
«Политике в отношении организации
обработки и обеспечения безопасности» и
в «Положении об организации обработки и
обеспечении безопасности ПДн»
Оператора.
7 п.10 ч.1 ст.6: Обработка ПДн,
доступ неограниченного круга
лиц к которым предоставлен
субъектом ПДн либо по его
просьбе.
убытки,
моральный
вред
В Оператор получает письменное согласие
субъектов ПДн на признание
определенного перечня ПДн
общедоступными для обработки в
конкретных целях.
8 ч.3 ст.6: В поручении оператора
должны быть определены
перечень действий (операций) с
ПДн и цели обработки ПДн,
должна быть установлена
обязанность лица,
осуществляющего обработку
ПДн, соблюдать
конфиденциальность ПДн и
убытки,
моральный
вред
В 1. Соответствующие нормы закреплены в
«Положении об организации обработки и
обеспечении безопасности ПДн»
Оператора.
2. Соответствующие нормы закреплены в
договорах, регламентирующих
правоотношения Оператора с третьими
лицами.
75
№ Требования 152-ФЗ, которые
могут быть нарушены
Оператором и причинить вред
субъекту ПДн
Форма
возможног
о вреда
Оценка
уровня
возможно
го вреда
Принимаемые Оператором меры по
обеспечению выполнения обязанностей,
предусмотренных 152-ФЗ
обеспечивать безопасность ПДн
при их обработке, а также
должны быть указаны
требования к защите
обрабатываемых ПДн в
соответствии со ст.19 152-ФЗ.
9 ст.7: Операторы и иные лица,
получившие доступ к ПДн,
обязаны не раскрывать третьим
лицам и не распространять ПДн
без согласия субъекта ПДн, если
иное не предусмотрено
федеральным законом.
убытки,
моральный
вред
В Соответствующие нормы закреплены в
«Положении об организации обработки и
обеспечении безопасности ПДн»
Оператора.
10 ч.1 ст.8: В целях
информационного обеспечения
могут создаваться
общедоступные источники ПДн
(в том числе справочники,
адресные книги). В
общедоступные источники ПДн с
письменного согласия субъекта
ПДн могут включаться его ПДн.
моральный
вред
В Оператор получает письменное согласие
субъектов ПДн на включение их ПДн в
общедоступные источники ПДн,
формируемые Оператором.
11 ч.1 ст.9: Субъект ПДн принимает
решение о предоставлении его
ПДн и дает согласие на их
обработку свободно, своей волей
и в своем интересе. Согласие на
обработку ПДн может быть дано
субъектом ПДн или его
представителем в любой
позволяющей подтвердить факт
его получения форме, если иное
не установлено федеральным
законом.
убытки,
моральный
вред
С Согласия субъектов на обработку их ПДн
Оператору фиксируются надлежащим
образом, позволяющим подтвердить факт
их получения.
12 ч.8 ст.9: ПДн могут быть
получены оператором от лица, не
являющегося субъектом ПДн,
при условии предоставления
оператору подтверждения
наличия оснований, указанных в
п.п.2-11 ч.1 ст.6, ч.2 ст.10 и ч.2
ст.11 152-ФЗ.
убытки,
моральный
вред
С 1. ПДн получаются Оператором
непосредственно у субъектов ПДн либо
при условии подтверждения третьим
лицом факта уведомления субъекта ПДн об
обработке его ПДн Оператором.
2. Нормы, обязывающие третьих лиц
уведомлять субъекта ПДн об
осуществлении обработки его ПДн
Оператором, закреплены в договорах,
регламентирующих правоотношения
Оператора с третьими лицами.
3. ПДн получены Оператором в связи с
исполнением договора, стороной которого
либо выгодоприобретателем или
поручителем по которому является субъект
ПДн.
13 ч.1 ст.10: Обработка
специальных категорий ПДн,
убытки, В Осуществляется обработка сведений о
состоянии здоровья сотрудников
76
№ Требования 152-ФЗ, которые
могут быть нарушены
Оператором и причинить вред
субъекту ПДн
Форма
возможног
о вреда
Оценка
уровня
возможно
го вреда
Принимаемые Оператором меры по
обеспечению выполнения обязанностей,
предусмотренных 152-ФЗ
касающихся расовой,
национальной принадлежности,
политических взглядов,
религиозных или философских
убеждений, состояния здоровья,
интимной жизни, не допускается,
за исключением случаев,
предусмотренных ч.2 ст.10 152-
ФЗ.
моральный
вред
Оператором, относящихся к возможности
выполнения трудовой функции
сотрудниками.
Основание для осуществления обработки
вышеуказанных сведений:
- п.п.2.3, 8 ч.2 ст.10 152-ФЗ;
- ст.ст.88, 183 ТК РФ;
- ч.5 ст.13 Федерального закона № 255-ФЗ
«Об обязательном социальном страховании
на случай временной нетрудоспособности
и в связи с материнством».
14 ч.1 ст.11: Сведения, которые
характеризуют физиологические
и биологические особенности
человека, на основании которых
можно установить его личность
(биометрические ПДн) и которые
используются оператором для
установления личности субъекта
ПДн, могут обрабатываться
только при наличии согласия в
письменной форме субъекта
ПДн, за исключением случаев,
предусмотренных ч.2 ст.11 152-
ФЗ.
моральный
вред
В [Оператор получает письменное согласие
субъектов ПДн на обработку их
биометрических ПДн.]
15 ч.3 ст.12: Оператор обязан
убедиться в том, что
иностранным государством, на
территорию которого
осуществляется передача ПДн,
обеспечивается адекватная
защита прав субъектов ПДн, до
начала осуществления
трансграничной передачи ПДн.
убытки,
моральный
вред
В [1. Оператор осуществляет
трансграничную передачу ПДн на
территории иностранных государств,
являющихся сторонами Конвенции Совета
Европы о защите физических лиц при
автоматизированной обработке ПДн, а
также иных иностранных государств,
обеспечивающих адекватную защиту прав
субъектов ПДн.
2. Оператор осуществляет
трансграничную передачу ПДн на
территории иностранных государств, не
обеспечивающих адекватной защиты прав
субъектов ПДн, в случаях,
предусмотренных ч.4 ст.12 152-ФЗ.]
16 ч.1 ст.14: Субъект ПДн вправе
требовать от оператора
уточнения его ПДн, их
блокирования или уничтожения в
случае, если ПДн являются
неполными, устаревшими,
неточными, незаконно
полученными или не являются
необходимыми для заявленной
цели обработки, а также
принимать предусмотренные
убытки,
моральный
вред
С Соответствующие нормы закреплены в
«Положении об организации обработки и
обеспечении безопасности ПДн»
Оператора.
77
№ Требования 152-ФЗ, которые
могут быть нарушены
Оператором и причинить вред
субъекту ПДн
Форма
возможног
о вреда
Оценка
уровня
возможно
го вреда
Принимаемые Оператором меры по
обеспечению выполнения обязанностей,
предусмотренных 152-ФЗ
законом меры по защите своих
прав.
17 ч.7 ст.14: Субъект ПДн имеет
право на получение информации,
касающейся обработки его ПДн.
моральный
вред
Н Соответствующие нормы закреплены в
«Положении об организации обработки и
обеспечении безопасности ПДн»
Оператора.
18 ч.1 ст.15: Обработка ПДн в целях
продвижения товаров, работ,
услуг на рынке путем
осуществления прямых
контактов с потенциальным
потребителем с помощью средств
связи допускается только при
условии предварительного
согласия субъекта ПДн.
Указанная обработка ПДн
признается осуществляемой без
предварительного согласия
субъекта ПДн, если оператор не
докажет, что такое согласие было
получено.
моральный
вред
С Согласия субъектов на обработку их ПДн
Оператору фиксируются надлежащим
образом, позволяющим подтвердить факт
их получения.
78
12.24. Контроли несоответствий и рекомендации по устранению несоответствий
12.24.1. С целью повышения эффективности и результативности мероприятий внутреннего контроля
Оператора над соблюдением обязательных требований в сфере обработки и защиты ПДн (см.
раздел 1.6 Положения) в Положении закреплен перечень требований (контролей) действующего
законодательства РФ в области ПДн. С практической точки зрения проверка выполнения каждого
из контролей позволит лицам, осуществляющим мероприятия внутреннего контроля, составить
полное и обоснованное мнение о фактическом выполнении Оператором требований
законодательства о ПДн.
12.24.2. Нижеприведенные 70 контролей можно условно разделить на две категории:
(1) контроли несоответствий требованиям действующего законодательства РФ в области ПДн,
указанные в п.п.1-28, связаны непосредственно с процессами обработки ПДн;
(2) контроли несоответствий требованиям действующего законодательства РФ в области ПДн,
указанные в п.п.29-70, связаны с операционной деятельностью по управлению и
обеспечению безопасности обработки ПДн.
12.24.3. Каждому из контролей приведен соответствует определенный перечень санкций (мер
юридической ответственности за несоблюдение требований законодательства РФ в области ПДн)
и перечень типовых рекомендаций по устранению выявленных несоответствий, который
применим по отношению как к результатам внутреннего контроля, так и к результатам проверок
(государственного надзора):
(1) перечень санкций приведен с точки зрения выявления правовых рисков Оператора как
юридического лица. Вопросы юридической ответственности сотрудников Оператора и
третьих лиц не рассматриваются;
(2) в случае необходимости Оператор может рассмотреть необходимость применения
дополнительных мер и мероприятий по устранению несоответствий;
(3) перечень типовых рекомендаций может быть вариативным (в этих случаях рекомендациям
присвоены порядковые номера – 1, 2, 3 и т.д.), то есть возможно применение только части
предложенных рекомендаций. Например, контроль, указанный в п.7, может ограничиться
только получением согласия субъекта ПДн, а остальные две рекомендации не будут
применимы.
12.24.4. Контроли несоответствий требованиям действующего законодательства РФ в области ПДн,
соответствующие им меры юридической ответственности, а также рекомендации по устранению
несоответствий:
Таблица № 1. Контроли несоответствий.
№ Контроли Несоответствия Санкции Рекомендации
1
ч.2 ст.5 152-ФЗ
п.1 ст.86 ТК
РФ
Обработка ПДн,
несовместимая с целями
сбора ПДн.
ст.5.27 КоАП
РФ
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
Определить и закрепить цели обработки
ПДн в локальном нормативном
общедоступном акте.
2 ч.3 ст.5 152-ФЗ Объединение БД,
содержащих ПДн, обработка
которых осуществляется в
целях, несовместимых
между собой.
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
Разделить БД, содержащие ПДн, обработка
которых осуществляется в целях,
несовместимых между собой.
3
ч.4 ст.5 152-ФЗ Обрабатываются ПДн,
которые не отвечают целям
их обработки.
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
Определить и закрепить перечень
обрабатываемых ПДн в локальном
нормативном общедоступном акте.
Прекратить обработку ПДн, не
включенных в вышеуказанный перечень.
79
№ Контроли Несоответствия Санкции Рекомендации
4 ч.5 ст.5 152-ФЗ
п.2 ст.86 ТК
РФ
Обрабатываемые ПДн не
должны быть избыточными
по отношению к заявленным
целям их обработки.
ст.5.27 КоАП
РФ
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
Определить и закрепить содержание и
объем обрабатываемых ПДн в локальном
нормативном акте.
5 ч.6 ст.5 152-ФЗ Не принимаются
необходимые меры либо не
обеспечивается их принятие
по удалению или уточнению
неполных или неточных
ПДн.
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
Определить и закрепить порядок удаления
или уточнения неполных или неточных
ПДн в локальном нормативном акте.
6 ч.7 ст.5 152-ФЗ
ст.87 ТК РФ
Срок или условие
прекращения обработки, а
также порядок прекращения
обработки ПДн не
определены.
ст.5.27 КоАП
РФ
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
Определить и закрепить срок или условие
прекращения обработки, а также порядок
прекращения обработки ПДн в локальном
нормативном акте.
7 ч.1 ст.6 152-ФЗ
ч.1 ст.152.2 ГК
РФ
Обработка ПДн
осуществляется без согласия
субъекта ПДн или иного
законного основания.
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151, ч.4
ст.152.2 ГК
РФ
ст.90 ТК РФ
1. Получить согласие субъекта ПДн в
письменной или иной позволяющей
подтвердить факт его получения форме.
2. Определить нормы законодательства,
позволяющие обрабатывать ПДн без
получения согласия субъекта ПДн.
3. Идентифицировать или заново
заключить договор, стороной которого
либо выгодоприобретателем или
поручителем, по которому является
субъект ПДн.
8 ч.3 ст.6 152-ФЗ
абз.3 ст.88 ТК
РФ
п.3 ПП-1119
Поручение об обработке
ПДн не оформлено
(зафиксировано) или
оформлено ненадлежащим
образом.
Отсутствует договор между
Оператором и
обработчиком,
предусматривающий
обязанность обработчика
обеспечить безопасность
ПДн при их обработке в
ИСПДн, либо в таком
договоре отсутствует
условие
об обеспечении
безопасности ПДн при их
обработке в ИСПДн.
ст.5.27 КоАП
РФ
ст.13.11
КоАП РФ
ст.13.14
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
Определить и закрепить порядок
поручения обработки ПДн обработчикам в
локальном нормативном акте. Указать в
типовой форме согласия субъекта на
обработку ПДн факты осуществления (или
возможного осуществления) поручения
обработки ПДн обработчикам. Заключить
соглашение между Оператором и
обработчиком, в котором следует
определить (1) перечень действий
(операций) с ПДн, которые будут
совершаться обработчиком и (2) цели
обработки ПДн; (3) установить в
соглашении обязанность обработчика
соблюдать конфиденциальность ПДн и
обеспечивать безопасность ПДн при их
обработке; (4) указать в соглашении
требования к защите обрабатываемых ПДн.
9 ч.2 ст.152.2 ГК
РФ
Разглашение сторонами
обязательства ставшую
известной им при
возникновении и (или)
исполнении обязательства
информацию о частной
ст.137 УК РФ
ч.2 ст.150,
ст.151, ч.4
ст.152.2 ГК
РФ
1. Прекратить разглашение информации о
частной жизни гражданина без его
согласия.
2. Если прекращение разглашение
информации о частной жизни гражданина
невозможно, то следует включить раздел в
80
№ Контроли Несоответствия Санкции Рекомендации
жизни гражданина,
являющегося стороной или
третьим лицом в данном
обязательстве.
договор (заключить дополнительное
соглашение) о возможности такого
разглашения информации о сторонах.
10 ст.7 152-ФЗ
абз.2 ст.88 ТК
РФ
Раскрытие ПДн третьим
лицам и распространение
ПДн без согласия субъекта
ПДн.
ст.137 УК РФ
ст.5.27 КоАП
РФ
ст.13.14
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
1. Прекратить раскрытие ПДн третьим
лицам и распространение ПДн без согласия
субъекта ПДн.
2. Если прекращение раскрытия и/или и
распространения ПДн невозможно, то
следует определить цель и правовое
основание (например, письменное согласие
субъекта ПДн) раскрытия и/или
распространения ПДн. Также необходимо
включить раздел в договор (заключить
дополнительное соглашение) с третьим
лицом о правомерности передачи ПДн и об
обеспечении конфиденциальности
передаваемых ПДн.
11 ч.3 ст.152.2 ГК
РФ
Неправомерное
распространение
полученной с нарушением
закона информации о
частной жизни гражданина,
в частности, ее
использование при создании
произведений науки,
литературы и искусства,
если такое использование
нарушает интересы
гражданина.
ст.137 УК РФ
ч.2 ст.150,
ст.151, ч.4
ст.152.2 ГК
РФ
1. Прекратить распространение
полученной с нарушением закона
информации о частной жизни гражданина.
2. Если распространение полученной с
нарушением закона информации о частной
жизни гражданина невозможно, то следует
определить цель и правовое основание
(например, письменное согласие
гражданина) для такого распространения.
12 абз.3 ст.88 ТК
РФ
Сообщение ПДн сотрудника
в коммерческих целях без
его письменного согласия.
ст.137 УК РФ
ст.5.27 КоАП
РФ
ст.13.11
КоАП РФ
ст.13.14
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
1. Прекратить сообщение ПДн сотрудника.
2. Если прекращение сообщения ПДн
невозможно, то следует определить цель и
правовое основание (например,
письменное согласие субъекта ПДн)
сообщения ПДн.
13 ч.1 ст.8 152-ФЗ
Внесение в общедоступные
источники ПДн без
письменного согласия
субъекта ПДн.
ст.137 УК РФ
ст.13.11
КоАП РФ
ст.13.14
КоАП РФ
ч.2 ст.150,
ст.151, ч.ч.2 и
3 ст.152.1 ГК
РФ
ст.90 ТК РФ
1. Прекратить внесение в общедоступные
источники ПДн.
2. Если прекращение внесения ПДн
невозможно, то следует определить цель и
правовое основание (например,
письменное согласие субъекта ПДн)
внесения ПДн.
14 ч.1 ст.152.1 ГК
РФ
Обнародование и
дальнейшее использование
изображения гражданина (в
том числе его фотографии, а
также видеозаписи или
ст.137 УК РФ
ч.2 ст.150,
ст.151, ч.ч.2 и
3 ст.152.1 ГК
РФ
1. Прекратить обнародование и дальнейшее
использование изображения гражданина.
2. Если прекращение обнародования и
дальнейшего использования изображения
гражданина невозможно, то следует
81
№ Контроли Несоответствия Санкции Рекомендации
произведения
изобразительного искусства,
в которых он изображен) без
согласия этого гражданина.
определить для них цель и правовое
основание (например, письменное согласие
гражданина или исключение, указанное в
пп.1-3 ч.1 ст.152.1 ГК РФ).
15 ч.1 ст.9 152-ФЗ
Обработка ПДн ведется без
наличия оформленного
(зафиксированного)
соответствующим образом
согласия субъекта ПДн,
которое дано субъектом
свободно, своей волей и в
своем интересе. Согласие
субъекта ПДн не является
конкретным,
информированным и
сознательным.
ст.5.27 КоАП
РФ
ст.13.11
КоАП РФ
ст.13.14
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
Разработать и закрепить в локальном
нормативном акте типовую форму
письменного согласия субъекта на
обработку ПДн. Внедрить типовую форму
письменного согласия путем её
фактического принятия субъектами ПДн.
16 п.9 ст.86 ТК
РФ
Сотрудники отказываются
(вынуждены отказаться) от
своих прав на сохранение и
защиту тайны.
ст.137 УК РФ
ст.5.27 КоАП
РФ
ст.13.11
КоАП РФ
ст.13.14
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
Прекратить практику понуждения
сотрудников к отказу от своих прав на
сохранение и защиту тайны.
17 ч.8 ст.9 152-ФЗ Получение ПДн от лица, не
являющегося субъектом
ПДн, без предоставления
Оператору подтверждения
наличия законных
оснований.
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
1. Заключить соглашение между
Оператором и лицом, не являющимся
субъектом ПДн, в котором будет
установлена обязанность такого лица
предоставлять Оператору доказательства
наличия законных оснований для
обработки ПДн.
2. Определить нормы законодательства,
позволяющие обрабатывать ПДн,
полученные Оператором от лица, не
являющегося субъектом ПДн.
18 ч.2 ст.10 152-
ФЗ
п.4 ст.86 ТК
РФ
Обработка специальных
категорий ПДн без
письменного согласия
субъекта ПДн или иного
законного основания.
ст.5.27 КоАП
РФ
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
1. Получить согласие субъекта ПДн в
письменной или иной позволяющей
подтвердить факт его получения форме.
2. Определить нормы законодательства,
позволяющие обрабатывать ПДн без
получения согласия субъекта ПДн.
3. Идентифицировать или заново
заключить договор, стороной которого
либо выгодоприобретателем или
поручителем, по которому является
субъект ПДн.
19 ч.3 ст.10 152-
ФЗ
Обработка ПДн о судимости
Оператором, не
являющимся
государственным или
муниципальным органом, а
также иным лицом, у
которого отсутствует
ст.137 УК РФ
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
Прекратить обработку ПДн о привлечении
субъекта к уголовной ответственности
(судимости).
82
№ Контроли Несоответствия Санкции Рекомендации
прямое указание в
законодательстве.
20 п.5 ст.86 ТК
РФ
Обработка ПДн сотрудника
о его членстве в
общественных
объединениях или его
профсоюзной деятельности,
если отсутствует прямое
указание в
законодательстве.
ст.5.27 КоАП
РФ
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
1. Прекратить обработку ПДн сотрудника.
2. Если прекращение обработки ПДн
невозможно, то следует определить цель и
правовое основание (норму
законодательства) обработки ПДн
21 абз.7 ст.88 ТК
РФ
Запрашиваемый объем
информации о состоянии
здоровья сотрудника
превышает объем сведений,
которые относятся к
вопросу о возможности
выполнения сотрудником
трудовой функции.
ст.5.27 КоАП
РФ
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
Прекратить обработку ПДн о состоянии
здоровья сотрудника.
22 ч.1 ст.11 152-
ФЗ
Обработка биометрических
ПДн без письменного
согласия субъекта ПДн или
иного законного основания.
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
1. Прекратить обработку биометрических
ПДн.
2. Если прекращение обработки
биометрических ПДн невозможно, то
следует определить цель и правовое
основание (например, письменное согласие
субъекта ПДн) обработки ПДн.
23 ч.4 ст.12 152-
ФЗ
Трансграничная передача
ПДн на территории
иностранных государств, не
обеспечивающих
адекватной защиты прав
субъектов ПДн, без
письменного согласия
субъекта ПДн или иного
законного основания.
ст.13.11
КоАП РФ
ст.13.14
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
Указать в локальном нормативном акте
сведения, подтверждающие проведение
оценки адекватности защиты прав
субъектов ПДн на территории
иностранного государства. Формализовать
в письменной форме согласие субъектов
ПДн на трансграничную передачу ПДн на
территорию иностранного государства, не
обеспечивающего адекватную защиту ПДн.
24 ч.1 ст.15 152-
ФЗ
Обработка ПДн в целях
продвижения товаров,
работ, услуг на рынке путем
осуществления прямых
контактов с потенциальным
потребителем с помощью
средств связи, а также в
целях политической
агитации ведется без
предварительного согласия
субъекта ПДн.
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
Получить предварительное согласие
субъекта ПДн в письменной или иной
позволяющей подтвердить факт его
получения форме.
25 ч.2 ст.16 152-
ФЗ
Решение, порождающее
юридические последствия в
отношении субъекта ПДн,
принимается на основании
исключительно
автоматизированной
обработки его ПДн без
письменного согласия
субъекта ПДн или иного
законного основания.
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
1. Получить согласие субъекта ПДн в
письменной или иной позволяющей
подтвердить факт его получения форме.
2. Определить нормы законодательства,
позволяющие обрабатывать ПДн без
получения согласия субъекта ПДн.
3. Идентифицировать или заново
заключить договор, стороной которого
либо выгодоприобретателем или
83
№ Контроли Несоответствия Санкции Рекомендации
поручителем, по которому является
субъект ПДн.
26 п.6 ст.86 ТК
РФ
Работодатель при принятии
решений, затрагивающих
интересы сотрудника,
основывается на ПДн
сотрудника, полученных
исключительно в результате
их автоматизированной
обработки или электронного
получения.
ст.5.27 КоАП
РФ
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
Не принимать решения, затрагивающие
интересы сотрудника, исходя из ПДн
сотрудника, полученных исключительно в
результате их автоматизированной
обработки или электронного получения.
27 ч.3 ст.18 152-
ФЗ
п.3 ст.86 ТК
РФ
Не уведомление субъекта
ПДн до начала обработки
его ПДн, если ПДн
получены не от самого
субъекта ПДн.
ст.5.27 КоАП
РФ
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
Включить в типовую форму письменного
согласия на обработку ПДн обязательство
сотрудников Оператора об уведомлении
членов их семей и близких родственников
о факте обработки их ПДн Оператором.
28 ч.5 ст.18 152-
ФЗ
п.7 ч.4 ст.16
149-ФЗ
Не обеспечение записи,
систематизации,
накопления, хранения,
уточнения (обновления,
изменения), извлечения
персональных данных
граждан РФ с
использованием БД,
находящихся на территории
РФ, при сборе их ПДн.
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
Изменить логику распределения
информационных потоков внутри и между
ИСПДн, а также модифицировать
сопутствующие процессы обработки ПДн и
юридически значимые документы
(локальные акты Оператора, согласия
субъектов ПДн, соглашения и договоры
между Оператором и его контрагентами).
29 ч.1 ст.14 152-
ФЗ
ст.89 ТК РФ
Не обеспечение реализации
права субъекта ПДн на
доступ к его ПДн, а также
права субъекта на
уточнение, блокирование,
уничтожение его ПДн.
ст.5.27 КоАП
РФ
ст.5.39 КоАП
РФ
ст.13.11
КоАП РФ
ч.2 ст.150,
ст.151 ГК РФ
ст.90 ТК РФ
Разработать и закрепить в локальном
нормативном акте порядок учета,
рассмотрения и реагирования Оператора на
запросы субъектов ПДн или их
представителей.
30 п.1 ч.1
ст.18.1 152-ФЗ
Не назначено лицо,
ответственное за
организацию обработки
ПДн.
ст.13.11
КоАП РФ
Определить лиц, ответственных за
организацию обработки ПДн. Разработать
и утвердить соответствующие локальные
акты или внести дополнения в имеющиеся
локальные акты в сфере организации
обработки ПДн.
31 п.2 ч.1
ст.18.1 152-ФЗ
Не изданы документы,
определяющие политику
Оператора в отношении
обработки ПДн, локальные
акты по вопросам обработки
ПДн, а также локальные
акты, устанавливающие
процедуры, направленные
на предотвращение и
выявление нарушений
законодательства РФ,
ст.13.11
КоАП РФ
ст.19.4.1
КоАП РФ
Актуализировать существующие и
разработать отсутствующие локальные
акты в сфере организации обработки и
обеспечения безопасности ПДн.
84
№ Контроли Несоответствия Санкции Рекомендации
устранение последствий
таких нарушений
32 п.3 ч.1
ст.18.1 152-ФЗ
п.7 ст.86 ТК
РФ
Не применение правовых,
организационных и
технических мер по
обеспечению безопасности
ПДн в соответствии со
статьей 19 152-ФЗ.
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
Разработать и ввести в эксплуатацию
СЗПДн, включающую в себя применение
правовых, организационных и технических
мер по обеспечению безопасности ПДн.
Более подробно указанные меры
рассматриваются в пунктах 38-46
настоящей таблицы.
33 п.4 ч.1
ст.18.1 152-ФЗ
Не осуществление
внутреннего контроля и
(или) аудита соответствия
обработки ПДн
законодательству РФ и
локальным актам
Оператора.
ст.13.11
КоАП РФ
Определить и закрепить порядок
осуществления внутреннего контроля в
локальных нормативных актах.
34 п.5 ч.1
ст.18.1 152-ФЗ
Не проведена оценка вреда,
который может быть
причинен субъектам ПДн в
случае нарушения 152-ФЗ,
соотношение указанного
вреда и принимаемых
Оператором мер,
направленных на
обеспечение выполнения
обязанностей,
предусмотренных 152-ФЗ.
ст.13.11
КоАП РФ
Определить порядок оценки возможного
вреда субъектам ПДн и соотнесения
указанного вреда с принимаемыми
Оператором мерами. Осуществить оценку
возможного вреда.
35 п.8 ст.86 ТК
РФ
абз.5 ст.88 ТК
РФ
Не ознакомление под
роспись сотрудников и их
представителей с
документами работодателя,
устанавливающими порядок
обработки ПДн
сотрудников, а также об их
правах и обязанностях в
этой области.
ст.5.27 КоАП
РФ
ст.13.11
КоАП РФ
Разработать и внедрить типовую форму
журнала учета ознакомлений с порядком
обработки ПДн.
36 п.6 ч.1
ст.18.1 152-ФЗ
Не ознакомление
сотрудников Оператора,
непосредственно
осуществляющих обработку
ПДн, с положениями
законодательства РФ о ПДн,
в том числе требованиями к
защите ПДн, документами,
определяющими политику
Оператора в отношении
обработки ПДн, локальными
актами по вопросам
обработки ПДн, и (или)
обучение указанных
сотрудников.
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
Разработать и внедрить типовую форму
журнала учета инструктажей по правилам
обработки и защиты ПДн.
37 ч.2 ст.18.1 152-
ФЗ
Не опубликован или иным
образом не обеспечен
неограниченный доступ к
документу, определяющему
ст.13.11
КоАП РФ
Разработать и разместить в свободном
доступе документ, определяющий
политику Оператора в отношении
обработки и защиты ПДн.
85
№ Контроли Несоответствия Санкции Рекомендации
политику Оператора в
отношении обработки ПДн,
к сведениям о реализуемых
требованиях к защите ПДн.
38 абз.6 ст.88 ТК
РФ
Доступ к ПДн сотрудников
разрешен не только для
специально
уполномоченных лиц; лица,
имеющие доступ к ПДн
сотрудников, обладают
правом/возможностью
получать ПДн сотрудника в
большем объеме, чем это им
необходимо для выполнения
своих функций.
ст.5.27 КоАП
РФ
ст.13.11
КоАП РФ
Определить и закрепить порядок допуска
лиц к обработке ПДн в локальном
нормативном акте. Определить перечень
лиц, допущенных к обработке ПДн.
39 п.1 ч.2
ст.19 152-ФЗ
Не определены угрозы
безопасности ПДн при их
обработке в ИСПДн.
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
Определить актуальные угрозы
безопасности ПДн для ИСПДн.
Разработать модели угроз на базе методик
ФСТЭК России и ФСБ России.
40 п.2 ч.2
ст.19 152-ФЗ
Не применяются
организационные и
технические меры по
обеспечению безопасности
ПДн при их обработке в
ИСПДн, необходимых для
выполнения требований к
защите ПДн, исполнение
которых обеспечивает
установленные
Правительством РФ УЗ
ПДн.
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
Создать СЗПДн, включающую в себя
организационные и (или) технические
меры, определенные для каждой ИСПДн с
учетом актуальных угроз безопасности
ПДн и ИТ, используемых в ней.
41 п.4 ч.2
ст.19 152-ФЗ
Не произведена оценка
эффективности
принимаемых мер по
обеспечению безопасности
ПДн до ввода в
эксплуатацию ИСПДн.
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
Произвести оценку эффективности мер по
обеспечению безопасности ПДн для
каждой из ИСПДн.
42 п.5 ч.2
ст.19 152-ФЗ
Не осуществляется учет
машинных носителей ПДн.
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
Определить и закрепить порядок учета
машинных носителей ПДн в локальном
нормативном акте. Разработать и внедрить
типовую форму журнала учета
материальных носителей, предназначенных
для хранения ПДн.
43 п.6 ч.2
ст.19 152-ФЗ
Не осуществляется
обнаружение фактов
несанкционированного
доступа к ПДн и принятие
соответствующих мер.
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
Должны использоваться механизмы
регистрации событий, позволяющие
обнаруживать факты НСД к ПДн.
На случаи НСД к ПДн должны
распространяться процедуры контроля и
управления инцидентами ИБ Оператора.
44 п.7 ч.2
ст.19 152-ФЗ
Не осуществляется
восстановление ПДн,
модифицированных или
уничтоженных вследствие
НСД к ним.
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
Определить и закрепить в локальном
нормативном акте порядок восстановления
ПДн. Обеспечить фактическое
восстановление ПДн.
86
№ Контроли Несоответствия Санкции Рекомендации
45 п.8 ч.2
ст.19 152-ФЗ
Не установлены правила
доступа к ПДн,
обрабатываемым в ИСПДн,
а также не обеспечивается
регистрация и учет всех
действий, совершаемых с
ПДн в ИСПДн.
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
Определить и закрепить в локальном
нормативном акте порядок доступа к ПДн,
обрабатываемым в ИСПДн. Обеспечить
фактическую регистрацию и учет всех
действий, совершаемых с ПДн в ИСПДн.
46 п.9 ч.2
ст.19 152-ФЗ
Не осуществляется контроль
над принимаемыми мерами
по обеспечению
безопасности ПДн и
соответствующих УЗ
ИСПДн.
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
Определить и закрепить в локальных
нормативных актах порядок
осуществления контроля над
принимаемыми мерами по обеспечению
безопасности ПДн и соответствующих УЗ
ИСПДн.
47 ч.1 ст.22 152-
ФЗ
Оператор не уведомил
Роскомнадзор о своем
намерении осуществлять
обработку ПДн до начала
обработки ПДн или
Оператор не уведомил
Роскомнадзор об обработке
ПДн.
ст.19.7 КоАП
РФ
Сформировать уведомление об обработке
ПДн и направить его в Роскомнадзор.
48 ч.6 ст.22 152-
ФЗ
Оператор предоставил
неполные или
недостоверные сведения в
Роскомнадзор.
ст.19.7 КоАП
РФ
Сформировать информационное письмо о
внесении изменений в сведения в реестре
Операторов, осуществляющих обработку
ПДн, и направить его в Роскомнадзор.
49 ч.7 ст.22 152-
ФЗ
Оператор не уведомил
Роскомнадзор об изменении
сведений, указанных в ч.3
ст.22 152-ФЗ, а также в
случае прекращения
обработки ПДн.
ст.19.7 КоАП
РФ
1. Сформировать информационное письмо
о внесении изменений в сведения в реестре
Операторов, осуществляющих обработку
ПДн, и направить его в Роскомнадзор.
2. Сформировать заявление об исключении
сведений об Операторе из реестра
Операторов, осуществляющих обработку
ПДн, и направить его в Роскомнадзор.
50 п.4 ПП-687 ПДн при их обработке,
осуществляемой без
использования средств
автоматизации, не
обособляются от иной
информации, в частности
путем фиксации их на
отдельных материальных
носителях ПДн, в
специальных разделах или
на полях форм (бланков).
ст.13.11
КоАП РФ
Обеспечить фактическое обособление ПДн
при их обработке, осуществляемой без
использования средств автоматизации.
51 п.5 ПП-687 При фиксации ПДн на
материальных носителях
допускается фиксация на
одном материальном
носителе ПДн, цели
обработки которых
заведомо не совместимы.
ст.13.11
КоАП РФ
Прекратить фиксацию на одном
материальном носителе ПДн, цели
обработки которых заведомо не
совместимы. Внести изменения в
фактический порядок фиксации ПДн на
материальных носителях.
52 п.6 ПП-687 Лица, осуществляющие
обработку ПДн без
использования средств
автоматизации, не
ст.13.11
КоАП РФ
Определить и закрепить порядок обработки
и защиты ПДн, обрабатываемых без
использования средств автоматизации, в
локальных нормативных актах.
87
№ Контроли Несоответствия Санкции Рекомендации
проинформированы о факте
обработки ими ПДн,
категориях обрабатываемых
ПДн, а также об
особенностях и правилах
осуществления такой
обработки.
Разработать и внедрить типовую форму
журнала учета инструктажей по правилам
обработки и защиты ПДн.
53 п.7 ПП-687 При использовании типовых
форм документов, характер
информации в которых
предполагает или допускает
включение в них ПДн, не
соблюдаются обязательные
условия.
ст.13.11
КоАП РФ
Разработать и внедрить типовые формы
документов с учетом требований п.7 ПП-
687.
54 п.8 ПП-687 При ведении журналов
(реестров, книг),
содержащих ПДн,
необходимые для
однократного пропуска
субъекта ПДн на
территорию, на которой
находится Оператор, или в
иных аналогичных целях, не
соблюдаются обязательные
условия.
ст.13.11
КоАП РФ
Определить и закрепить порядок обработки
и защиты ПДн, обрабатываемых без
использования средств автоматизации, в
локальных нормативных актах.
Разработать и внедрить типовую форму
журнала учета ПДн для пропуска субъекта
ПДн на территорию Оператора.
55 п.9 ПП-687 При несовместимости целей
обработки ПДн,
зафиксированных на одном
материальном носителе,
если материальный
носитель не позволяет
осуществлять обработку
ПДн отдельно от других
зафиксированных на том же
носителе ПДн, не приняты
меры по обеспечению
раздельной обработки ПДн.
ст.13.11
КоАП РФ
1. Обеспечить копирование ПДн,
подлежащих распространению или
использованию, способом, исключающим
одновременное копирование ПДн, не
подлежащих распространению и
использованию.
2. Обеспечить уничтожение или
блокирование материального носителя
ПДн с предварительным копированием
сведений, не подлежащих уничтожению
или блокированию, способом,
исключающим одновременное
копирование ПДн, подлежащих
уничтожению или блокированию.
56 п.10 ПП-687 Уничтожение или
обезличивание части ПДн,
если это допускается
материальным носителем,
производится способом, не
исключающим дальнейшую
обработку этих ПДн.
ст.13.11
КоАП РФ
Определить и закрепить порядок
прекращения обработки ПДн в локальном
нормативном акте. Разработать и внедрить
типовую форму акт об уничтожении или
обезличивании ПДн субъектов.
57 п.13 ПП-687 В отношении каждой
категории ПДн,
обрабатываемых без
использования средств
автоматизации, не
определены места хранения
ПДн (материальных
носителей) и не установлен
перечень лиц,
ст.13.11
КоАП РФ
Определить и закрепить порядок доступа в
помещения, в которых ведется обработка
ПДн, в локальном нормативном акте.
Разработать и принять «Приказ об
утверждении мест хранения материальных
носителей ПДн», «Приказ об утверждении
перечня структурных подразделений и
должностей, допущенных к обработке
ПДн».
88
№ Контроли Несоответствия Санкции Рекомендации
осуществляющих обработку
ПДн либо имеющих к ним
доступ.
58 п.14 ПП-687 Не обеспечивается
раздельное хранение ПДн
(материальных носителей),
обработка которых
осуществляется в различных
целях.
ст.13.11
КоАП РФ
Обеспечить хранение ПДн (материальных
носителей) в различных местах хранения
(например, хранить материальные
носители в разных шкафах).
59 п.15 ПП-687 При хранении материальных
носителей должны
соблюдаться условия,
обеспечивающие
сохранность ПДн и
исключающие
несанкционированный к
ним доступ.
ст.13.11
КоАП РФ
Обеспечить условия хранения ПДн
(материальных носителей),
обеспечивающие их сохранность и
исключающие несанкционированный
доступ к ним. Это достигается, в том числе,
путем ограничения доступа в места
расположения материальных носителей и
использования запирающихся шкафов,
сейфов и т.д.
60 п.3 ПП-1119
п.1 ч.1 ст.12
99-ФЗ
п.5 ч.1 ст.12
99-ФЗ
Обеспечение безопасности
обработки ПДн в ИСПДн
осуществляется Оператором
на основании заключенного
договора с ним (поручения
об обработки ПДн), но без
наличия у такого Оператора
соответствующих лицензий
на осуществление
деятельности по ТЗКИ и
(или) и по выполнению
работ и оказанию услуг в
области шифрования
информации.
ч.1 ст.13.13
КоАП РФ
ч.2 ст.14.1
КоАП РФ
ч.1 ст.19.20
КоАП РФ
ст.171 УК РФ
1. Получить лицензию ФСТЭК России на
ТЗКИ и (или) ФСБ России на выполнение
работ и оказание услуг в области
шифрования информации. Это можно
сделать самостоятельно или на договорной
основе.
2. Привлечь на договорной основе лицо,
обладающее соответствующими
лицензиями ФСТЭК России и (или) ФСБ
России, которое возьмет на себя
юридические риски по обеспечению
безопасности обработки ПДн в ИСПДн и
будет проходить проверки ФСТЭК России
и ФСБ России на выполнение
лицензионных требований.
61 п.8 ПП-1119 Не установлены УЗ ПДн при
их обработке в ИСПДн.
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
УЗ ПДн при их обработке в ИСПДн.
Закрепить факт установления УЗ ПДн в
соответствующих актах.
62 пп.«а» п.13
ПП-1119
Не организован режим
обеспечения безопасности
помещений, в которых
размещена ИСПДн,
препятствующий
возможности
неконтролируемого
проникновения или
пребывания в этих
помещениях лиц, не
имеющих права доступа в
эти помещения.
Применим для: 1-4 УЗ ПДн.
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
Режим доступа в помещения, в которых
размещены ресурсы ИСПДн, должен
исключать возможность
неконтролируемого нахождения
посторонних лиц. Разработать и утвердить
документ, определяющий режим доступа
на каждой из площадок ИСПДн.
63 пп.«б» п.13
ПП-1119
При хранении материальных
носителей не соблюдаются
условия, обеспечивающие
сохранность ПДн и
исключающие
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
Промаркировать все места хранения ПДн и
контролировать доступ к материальным
носителям на каждой площадки ИСПДн.
89
№ Контроли Несоответствия Санкции Рекомендации
несанкционированный к
ним доступ.
Применимо для 1-4 УЗ ПД.
64 пп.«в» п.13
ПП-1119
Руководителем Оператора
не утвержден документ,
определяющий перечень
лиц, доступ которых к ПДн,
обрабатываемым в ИСПДн,
необходим для выполнения
ими служебных (трудовых)
обязанностей.
Применимо для 1-4 УЗ ПДн.
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
Разработать и утвердить документ,
определяющий перечень лиц, доступ
которых к ПДн, обрабатываемым в
ИСПДн, необходим для выполнения ими
служебных (трудовых) обязанностей.
65 п.3 ч.2
ст.19 152-ФЗ
пп.«г» п.13
ПП-1119
Не используются СЗИ,
прошедшие процедуру
оценки соответствия
требованиям
законодательства РФ в
области обеспечения
безопасности информации, в
случае, когда применение
таких средств необходимо
для нейтрализации
актуальных угроз.
Применимо для 1-4 УЗ ПДн.
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
При создании СЗПДн использовать СЗИ,
прошедшие в установленном порядке
процедуру оценки (в том числе
сертифицированные в системах
сертификации № РОСС RU.0001.01БИ00 и
№ РОСС RU.0001.030001), когда
применение таких средств необходимо для
нейтрализации актуальных угроз.
66 п.14 ПП-1119 Не назначено должностное
лицо (сотрудник),
ответственное за
обеспечение безопасности
ПДн в ИСПДн.
Применимо для 1-3 УЗ ПДн.
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
Определить и назначить должностных лиц,
ответственных за обеспечение
безопасности ПДн в следующих ИСПДн:
67 п.15 ПП-1119 Доступ к содержанию
электронного журнала
сообщений ИСПДн
возможен не только для
должностных лиц
(сотрудников) Оператора
или уполномоченного лица,
которым сведения,
содержащиеся в указанном
журнале, необходимы для
выполнения служебных
(трудовых) обязанностей.
Применимо для 1-2 УЗ ПДн.
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
Разработать и принять приказ об
использовании электронного журнала
сообщений, в том числе определяющий
порядок доступа к содержанию
электронного журнала сообщений.
68 пп.«а» п.16
ПП-1119
Не осуществляется
автоматическая регистрация
в электронном журнале
безопасности изменения
полномочий сотрудника
Оператора по доступу к
ПДн, содержащимся в
ИСПДн.
Применимо для 1 УЗ ПДн.
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
Разработать и принять приказ об
использовании электронного журнала
безопасности. Обеспечить выполнение
автоматической регистрации в
электронном журнале безопасности
изменений полномочий сотрудника
Оператора по доступу к ПДн,
содержащимся в ИСПДн.
69 пп.«б» п.16
ПП-1119
Не создано структурное
подразделение,
ответственное за
ст.13.11
КоАП РФ
Разработать и утвердить документ о
структурном подразделении,
ответственном за обеспечение
90
№ Контроли Несоответствия Санкции Рекомендации
обеспечение безопасности
ПДн в ИСПДн, либо
функции по обеспечению
такой безопасности не
возложены на одно из
структурных
подразделений.
Применимо для 1 УЗ ПДн.
ст.13.12
КоАП РФ
безопасности ПДн при их обработке в
ИСПДн. Возложить функции по
обеспечению безопасности ПДн в ИСПДн
на одно из структурных подразделений или
создать структурное подразделение,
ответственное за обеспечение безопасности
ПДн в ИСПДн.
70 п.17 ПП-1119 Контроль за выполнением
требований ПП-1119 не
организуется и не
проводится Оператором
(уполномоченным лицом)
самостоятельно и (или) с
привлечением на
договорной основе
юридических лиц и
индивидуальных
предпринимателей,
имеющих лицензию на
осуществление
деятельности по ТЗКИ.
ст.13.11
КоАП РФ
ст.13.12
КоАП РФ
1. Определить и закрепить в локальном
нормативном акте порядок осуществления
контроля над выполнением требований
ПП-1119.
2. Для осуществления контроля над
выполнением требований ПП-1119
привлечь на договорной основе
юридическое лицо, имеющее лицензию на
осуществление деятельности по ТЗКИ.
91
12.25. Порядок взаимодействия с уполномоченными органами
12.25.1. Обязанности лица, ответственного за организацию обработки ПДн, при взаимодействии с
уполномоченными органами
(1) Ответственность за взаимодействие с уполномоченными органами, осуществляющими
мероприятия по контролю над выполнением Оператором требований к обеспечению
надлежащей организации обработки и обеспечению безопасности ПДн, в том числе в
ИСПДн, несет лицо, ответственное за организацию обработки ПДн.
(2) Лицо, ответственное за организацию обработки ПДн, или иное уполномоченное лицо
предоставляет уполномоченному органу запрашиваемую им при проведении проверок
информацию.
(3) Лицо, ответственное за организацию обработки ПДн, регистрирует сведения о проведении
проверки уполномоченными органами в соответствующем журнале учета проверок
Оператора, проводимых органами государственного контроля (надзора), органами
муниципального контроля.
(4) Лицо, ответственное за организацию обработки ПДн, обязано организовать текущее
хранение нижеуказанных документов в течение пяти лет, а по истечении указанного срока
– обеспечить передачу следующих документов на архивное хранение:
(4.1) запросы и требования уполномоченных органов;
(4.2) ответы Оператора на запросы и требования уполномоченных органов.
(4.3) иные документы и копии иных документов, непосредственно связанные с выполнением
Оператором своих обязанностей по рассмотрению запросов и требований уполномоченных
органов.
12.25.2. Виды предусмотренных законодательством проверок
(1) Роскомнадзор проводит:
плановые проверки;
внеплановые проверки;
мероприятия систематического наблюдения.
(2) ФСТЭК России проводит следующие проверки:
лицензионный контроль над соблюдением лицензиатом лицензионных требований и
условий;
по обращению Роскомнадзора (п. 5.1 ч.3 ст.23 152-ФЗ);
внеплановые проверки по контролю нарушений обязательных требований (ст.10 294-
ФЗ).
(3) ФСБ России проводит следующие проверки:
контроль над соблюдением правил пользования СЗКИ;
лицензионный контроль за соблюдением лицензиатом лицензионных требований и
условий;
по обращению Роскомнадзора (п. 5.1 ч.3 ст.23 152-ФЗ);
внеплановые проверки по контролю нарушений обязательных требований (ст.10 294-
ФЗ).
12.25.3. Взаимодействие с Роскомнадзором
(1) Роскомнадзор имеет право (ст.23 152-ФЗ):
запрашивать у операторов (физических или юридических лиц) информацию,
необходимую для реализации своих полномочий, и безвозмездно получать такую
информацию;
осуществлять проверку сведений, содержащихся в уведомлении об обработке ПДн, или
привлекать для осуществления такой проверки иные государственные органы в
пределах их полномочий;
92
требовать от оператора уточнения, блокирования или уничтожения недостоверных или
полученных незаконным путем ПДн;
принимать в установленном законодательством РФ порядке меры по приостановлению
или прекращению обработки ПДн, осуществляемой с нарушением требований 152-ФЗ;
обращаться в суд с исковыми заявлениями в защиту прав субъектов ПДн, в том числе в
защиту прав неопределенного круга лиц, и представлять интересы субъектов ПДн в
суде;
направлять в ФСБ России и в ФСТЭК России применительно к сфере их деятельности,
сведения, указанные в п.7 ч.3 ст.22 152-ФЗ;
направлять заявление в орган, осуществляющий лицензирование деятельности
оператора, для рассмотрения вопроса о принятии мер по приостановлению действия
или аннулированию соответствующей лицензии в установленном законодательством
РФ порядке, если условием лицензии на осуществление такой деятельности является
запрет на передачу ПДн третьим лицам без согласия в письменной форме субъекта ПДн;
направлять в органы прокуратуры, другие правоохранительные органы материалы для
решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных
с нарушением прав субъектов ПДн, в соответствии с подведомственностью;
привлекать к административной ответственности лиц, виновных в нарушении
требований 152-ФЗ.
(2) Для оценки и анализа принятых Оператором мер для обеспечения выполнения
обязанностей, предусмотренных 152-ФЗ, Роскомнадзором могут привлекаться эксперты и
(или) экспертные организации, аккредитованные в порядке, установленном Федеральным
законом от 28.12.2013 № 412-ФЗ «Об аккредитации в национальной системе аккредитации».
(3) В случае получения Оператором требования Роскомнадзора об уточнении обрабатываемых
Оператором неполных, устаревших, неточных ПДн лицо, ответственное за организацию
обработки ПДн, или иной уполномоченный сотрудник Оператора обязаны:
зафиксировать наличие требования Роскомнадзора об уточнении обработки неполных,
устаревших, неточных ПДн в «Журнале учета запросов и требований уполномоченных
органов» (см. п.12.5 Положения);
осуществить блокирование указанных ПДн с момента получения требования на период
проверки, если блокирование ПДн не нарушает права и законные интересы субъекта
ПДн или третьих лиц;
осуществить проверку фактов, изложенных в требовании – по результатам проверки
может быть получено подтверждение или не подтверждение факта неточности ПДн.
(4) В случае подтверждения факта неточности ПДн лицо, ответственное за организацию
обработки ПДн, или иной уполномоченный сотрудник Оператора обязаны:
произвести или обеспечить уточнение указанных ПДн на основании представленных
сведений в течение семи рабочих дней со дня представления таких сведений;
осуществить снятие блокирования указанных ПДн;
в письменной форме уведомить Роскомнадзор и, при необходимости, субъекта ПДн или
его представителя об устранении допущенных нарушений.
(5) В случае не подтверждения факта неточности ПДн лицо, ответственное за организацию
обработки ПДн, или иной уполномоченный сотрудник Оператора обязаны:
осуществить снятие блокирования указанных ПДн;
подготовить ответ в письменной форме о неправомерности и (или) о необоснованности
требования, и направить его в Роскомнадзор;
подготовить предложение об обжаловании требования в порядке, установленном
действующим законодательством РФ.
(6) В случае получения Оператором требования Роскомнадзора о прекращении неправомерной
обработки ПДн Оператором или об устранении выявленного Роскомнадзором в ходе
мероприятия систематического наблюдения нарушения Оператором требований
93
законодательства РФ в области ПДн лицо, ответственное за организацию обработки ПДн,
или иной уполномоченный сотрудник Оператора обязаны:
зафиксировать наличие требования Роскомнадзора о прекращении неправомерной
обработки ПДн или об устранении выявленного нарушения в «Журнале учета запросов
и требований уполномоченных органов»;
осуществить блокирование указанных ПДн с момента получения требования на период
проверки, если блокирование ПДн не нарушает права и законные интересы субъекта
ПДн или третьих лиц;
осуществить проверку фактов, изложенных в требовании – по результатам проверки
может быть получено подтверждение или не подтверждение факта неправомерной
обработки ПДн или факта выявленного нарушения.
(7) В случае подтверждения факта неправомерной обработки ПДн или факта выявленного
нарушения лицо, ответственное за организацию обработки ПДн, или иной уполномоченный
сотрудник Оператора обязаны:
произвести или обеспечить прекращение неправомерной обработки ПДн в срок, не
превышающий трех рабочих дней со дня выявления неправомерной обработки ПДн;
если обеспечить правомерность обработки ПДн невозможно – уничтожить такие ПДн
или обеспечить их уничтожение в срок, не превышающий десяти рабочих дней со дня
выявления неправомерной обработки ПДн;
произвести или обеспечить устранение выявленного нарушения в срок, не
превышающий десяти календарных дней со момента получения соответствующего
требования Роскомнадзора;
в письменной форме уведомить Роскомнадзор и, при необходимости, субъекта ПДн или
его представителя об устранении допущенных нарушений.
(8) В случае не подтверждения факта неправомерной обработки ПДн или факта выявленного
нарушения лицо, ответственное за организацию обработки ПДн, или иной уполномоченный
сотрудник Оператора обязаны:
осуществить снятие блокирования указанных ПДн;
подготовить ответ в письменной форме о неправомерности и (или) о необоснованности
требования, и направить его в Роскомнадзор.
подготовить предложение об обжаловании требования в порядке, установленном
действующим законодательством РФ.
(9) В случае получения Оператором запроса Роскомнадзора о предоставлении информации
лицо, ответственное за организацию обработки ПДн, или иной уполномоченный сотрудник
Оператора обязаны:
зафиксировать наличие запроса Роскомнадзора о предоставлении информации в
«Журнале учета запросов и требований уполномоченных органов»;
проверить законность и обоснованность такого запроса;
в письменной форме предоставить запрашиваемую информацию в Роскомнадзор.
(10) В случае получения Оператором иных запросов Роскомнадзора, выходящих за рамки его
полномочий, лицо, ответственное за организацию обработки ПДн, или иной
уполномоченный сотрудник Оператора обязаны:
зафиксировать наличие запроса Роскомнадзора в «Журнале учета запросов и
требований уполномоченных органов»;
подготовить ответ о неправомерности требований Роскомнадзора;
в письменной форме направить подготовленный ответ в Роскомнадзор.
(11) При включении Оператора в план проверок Роскомнадзора лицо, ответственное за
организацию обработки ПДн, незамедлительно уведомляет о предстоящей плановой
проверке руководителя Оператора, всех лиц, допущенных к обработке ПДн Оператором,
проводит внутреннюю проверку защищенности ПДн (согласно плану и методике
проведения внутренних проверок).
94
(12) При получении уведомления от Роскомнадзора о плановой проверке лицо, ответственное за
организацию обработки ПДн:
незамедлительно уведомляет руководителя Оператора и всех лиц, допущенных к
обработке ПДн Оператором, о предстоящей проверке;
проводит внутреннюю проверку защищенности ПДн (согласно правилам проведения
внутренних проверок).
(13) При получении уведомления от Роскомнадзора о внеплановой проверке лицо,
ответственное за организацию обработки ПДн:
запрашивает у должностного лица Роскомнадзора основания для проведения
внеплановой проверки;
незамедлительно уведомляет руководителя Оператора и всех лиц, допущенных к
обработке ПДн Оператором, о предстоящей проверке;
проводит внутреннюю проверку защищенности ПДн (согласно плану и методике
проведения внутренних проверок).
(14) В процессе проведения плановой или внеплановой проверки лицо, ответственное за
организацию обработки ПДн:
предоставляет должностным лицам Роскомнадзора информацию, необходимую для
реализации проверок;
контролирует соответствие процесса организации (проведения) проверки требованиям
действующего законодательства РФ;
регистрирует сведения о проведении проверки в журнале учета проверок Оператора,
проводимых органами государственного контроля (надзора), органами
муниципального контроля.
(15) В случае выездной проверки Роскомнадзора лицо, ответственное за организацию обработки
ПДн, должно ознакомиться:
со служебными удостоверениями проверяющих;
с копией приказа о проведении проверки (под роспись);
с полномочиями проверяющих, а также с целями, задачами, основаниями проведения
проверки, составом экспертов, со сроками и с условиями ее проведения;
с актом проверки до его подписания (по результатам проверки);
с предписанием об устранении выявленных нарушений (при наличии);
с протокол об административном правонарушении (при наличии).
(16) В случае совершения должностными лицами Роскомнадзора при проведении проверки
незаконных действий или выходящих за рамки их должностных обязанностей, лицо,
ответственное за организацию обработки ПДн готовит предложение об обжаловании
действий (бездействий) и решений должностных лиц Роскомнадзора в порядке,
установленном действующим законодательством РФ.
12.25.4. Взаимодействие с ФСТЭК России, ФСБ России и иными уполномоченными органами
(1) При получении Оператором запроса от ФСТЭК России или ФСБ России на предоставление
информации лицо, ответственное за организацию обработки ПДн:
проверяет законность и обоснованность такого запроса;
информирует руководителя Оператора, после чего предоставляет запрашиваемую
информацию в ФСТЭК России или в ФСБ России.
(2) При получении иных запросов, выходящих за рамки полномочий ФСТЭК России или ФСБ
России лицо, ответственное за организацию обработки ПДн должно подготовить
письменный ответ о незаконности предъявляемых требований.
(3) При включении Оператора в план проверок ФСТЭК России или ФСБ России лицо,
ответственное за организацию обработки ПДн, незамедлительно уведомляет о предстоящей
плановой проверке руководителя Оператора, всех лиц, допущенных к обработке ПДн
Оператором, проводит внутреннюю проверку защищенности ПДн (согласно плану и
95
методике проведения внутренних проверок). В процессе проведения проверки ФСТЭК
России или ФСБ России лицо, ответственное за организацию обработки ПДн:
предоставляет должностным лицам ФСТЭК России или ФСБ России информацию,
необходимую для реализации проверок;
регистрирует сведения о проведении проверки в журнале учета проверок Оператора,
проводимых органами государственного контроля (надзора), органами
муниципального контроля.
(4) В случае незаконных или выходящих за рамки должностных обязанностей действий
должностных лиц ФСТЭК России или ФСБ России при проведении проверки лицо,
ответственное за организацию обработки ПДн готовит предложение об обжаловании
действий (бездействий) и решения должностных лиц ФСТЭК России или ФСБ России в
порядке, установленным действующим законодательством РФ.
(5) Взаимодействие с иными уполномоченными органами организуется в порядке,
установленном действующим законодательством РФ.
![Z g b j h p k k b k l€¦ · I j h ] j _ [ g h c b k p b i e b g « h ^ _ e b j h \ Z g b _ j h p _ k k b k l _» Q Z k l 1 Утверждена Академическим советом](https://static.fdocuments.pl/doc/165x107/5f99d91b46ede10da972de63/z-g-b-j-h-p-k-k-b-k-l-i-j-h-j-g-h-c-b-k-p-b-i-e-b-g-h-e-b-j-h-z-g.jpg)
![Z g b bell¿ngcat · 2016-05-03 · H ] e Z \ e _ g b _ < \ _ ^ _ g b _..... 1 . < \ _ ^ _ g b _ < j Z k k e _ ^ h \ Z g b b « I j h b k o h ` ^ _ g b _ „ ; m d Z“ k _ i Z j](https://static.fdocuments.pl/doc/165x107/5f0d96107e708231d43b16ed/z-g-b-bellngcat-2016-05-03-h-e-z-e-g-b-g-b-1-.jpg)
![h h o j Z g g b y = H J H > K D : G B P : 2»gorbolnica2vol.ru/about/uchreditelnye-dokumenty... · 2015-10-19 · g b y o g _ j k b k l _ f u» ( A Z j _ ] b k l j b j h \ Z J h k](https://static.fdocuments.pl/doc/165x107/5f980bb66a94fc2c82710d6e/h-h-o-j-z-g-g-b-y-h-j-h-k-d-g-b-p-2-2015-10-19-g-b-y-o-g-j-k-b.jpg)
![K h ^ j ` Z g b - МГИМО...K h ^ j ` Z g b - МГИМО ... ^ j.])](https://static.fdocuments.pl/doc/165x107/5fbad0d05f51a754997e7dc1/-k-h-j-z-g-b-oeoe-k-h-j-z-g-b-oeoe-j.jpg)
![N Z d m e v k h p b Z e v g u o g Z m > i Z j l Z f g k h p b h e h ] b b ... · 2018-08-28 · G Z p b h g Z e v g b k k e _ ^ h \ Z l _ e v k d b c m g b \ _ j k b l «](https://static.fdocuments.pl/doc/165x107/5fa3784cd335dc75014acd9d/n-z-d-m-e-v-k-h-p-b-z-e-v-g-u-o-g-z-m-i-z-j-l-z-f-g-k-h-p-b-h-e-h-b-b-.jpg)
![Z g b b d b k k b c k d h c ^ j Z p b b I ^ Z ] h ] b q k d b c b g k l b l m … · 2018-02-22 · 1 F b g b k l _ j k l \ h [ j Z a h \ Z g b b d b k k b c k d h c _ ^ _ j Z p b](https://static.fdocuments.pl/doc/165x107/5fa0b527919a921651776057/z-g-b-b-d-b-k-k-b-c-k-d-h-c-j-z-p-b-b-i-z-h-b-q-k-d-b-c-b-g-k-l-b-l-m-2018-02-22.jpg)
