Алексей Ветров
Эксперт по защите данных IC-TECH
Во время проверки Роскомнадзор запрашивает у организации документы, подтверждающие законность, безопасность и прозрачность обработки персональных данных. Перечень может меняться в зависимости от сферы деятельности, но есть базовый набор документов, который обязателен для всех операторов.
Основные документы, запрашиваемые при проверке
- Организационно-распорядительные документы
- Приказ о назначении ответственного за организацию обработки ПДн.
- Приказ о допуске сотрудников к работе с ПДн.
- Приказ об утверждении политики обработки ПДн.
- Приказ о разработке и утверждении локальных актов по защите ПДн.
- Политика и регламенты
- Политика оператора в отношении обработки ПДн (публичный документ).
- Положение или регламент обработки и защиты ПДн.
- Порядок доступа сотрудников к персональным данным.
- Порядок хранения, уничтожения и обезличивания ПДн.
- Положение о резервном копировании и восстановлении данных.
- Журналы и формы учёта
- Журнал учёта обращений субъектов ПДн.
- Журнал инструктажа сотрудников.
- Журнал уничтожения и передачи ПДн.
- Реестр согласий субъектов.
- Перечень лиц, имеющих доступ к ПДн.
- Документы, подтверждающие законность обработки
- Уведомление об обработке ПДн, направленное в Роскомнадзор.
- Формы согласий субъектов (включая согласие на сайте).
- Основания для обработки без согласия (трудовые договоры, контракты, законы).
- Договоры с подрядчиками и поручениями на обработку ПДн.
- Документы по защите информации
- Акт классификации информационных систем персональных данных (ИСПДн).
- Модель угроз безопасности ПДн.
- План мероприятий по обеспечению безопасности.
- Договоры на использование сертифицированных средств защиты.
- Приказы об ограничении доступа и разграничении прав.
- Документы по контролю и реагированию
- Акт последнего внутреннего аудита по ПДн.
- Протоколы расследований инцидентов.
- Отчёт об устранении нарушений.
- Программы обучения и подтверждения инструктажей сотрудников.
Обоснование по закону
- ФЗ-152, ст. 18.1 — закрепляет полномочия Роскомнадзора по контролю за обработкой ПДн;
- Постановление Правительства № 687 от 15.09.2008 — определяет требования к защите ПДн при их обработке в ИСПДн;
- Постановление № 211 от 21.03.2012 — о порядке уведомления Роскомнадзора;
- Приказ ФСТЭК № 21 от 18.02.2013 — устанавливает меры защиты в информационных системах.
Практика проверок
На практике инспекторы просят предоставить документы в бумажной и/или электронной форме. Особое внимание уделяется:
- политике ПДн и уведомлению в Роскомнадзор;
- формам согласий и договорам с подрядчиками;
- журналам учёта и актам уничтожения данных;
- актам внутреннего контроля и результатам аудита.
Если хотя бы один из ключевых документов отсутствует или не обновлялся более трёх лет, это квалифицируется как нарушение, за которое могут быть назначены штрафы.
Вывод
При проверке Роскомнадзор требует полный пакет документов, подтверждающих не только законность, но и безопасность обработки ПДн. Регулярное обновление приказов, журналов и регламентов помогает избежать претензий надзорного органа.
Компания ICTech готовит организации к проверкам Роскомнадзора «под ключ»: оформляет весь комплект документов конкретно под Вашу сферу деятельности, проводит аудит и помогает пройти контроль без штрафов.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
