Профилактический визит: какие документы запрашивает Роскомнадзор в 2023 году?

Easy Inspect - Профилактический визит: какие документы запрашивает Роскомнадзор в 2023 году?

Обязательный профилактический визит является основным профилактическим мероприятием Роскомнадзора в области федерального государственного контроля (надзора) за обработкой персональных данных. В данной статье мы разберёмся какие документы запрашивает уполномоченный орган в рамках проведения данного профилактического мероприятия.

Нормативными актами не определен конкретный перечень документов, истребуемых в ходе проведения профилактического визита. В связи с этим территориальные органы Роскомнадзора самостоятельно составляют список необходимых им локальных актов, подтверждающих принятие мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон).


Проанализировав запросы различных региональных управлений Роскомнадзора можно сделать вывод о том, что наиболее часто запрашиваемыми документами являются следующие.

1. Документы о назначении ответственного за организацию обработки персональных данных (далее – ПДн). Копия должностного регламента (должностные обязанности) или должностная инструкция ответственного за организацию обработки ПДн.
К этим документам можно отнести Приказ о назначении ответственного за организацию обработки персональных данных.

2. Документы, определяющие политику оператора в отношении обработки ПДн.
Это непосредственно Политика или положение об обработке персональных данных.

3. Все изданные оператором действующие локальные акты, отражающие следующие вопросы обработки ПДн:
– цели обработки ПДн;
– правовое основание обработки ПДн (согласие, договор, норма/статья/пункт закона или подзаконного акта);
– категории субъектов ПДн, чьи ПДн обрабатываются;
– категории ПДн по каждой категории субъектов ПДн соответственно (ФИО, адрес и пр.);
– срок обработки ПДн субъектов ПДн (в электронной форме, на материальных носителях);
– срок хранения ПДн субъектов ПДн (в электронной форме, на материальных носителях);
– условия уничтожения ПДн субъектов ПДн и порядок его осуществления (в электронной форме, на материальных носителях), копии актов об уничтожении ПДн.
Данные вопросы могут быть как отражены в Политике или положение об обработке персональных данных, так и в отдельных документах, например в Приказе о применении мер по обеспечению выполнения обязанностей, предусмотренных Законом.

4. Копии документов, подтверждающих применение правовых, организационных и технических мер по обеспечению безопасности ПДн.
Наиболее оптимальным на наш взгляд решением является разработка Плана правовых, организационных и технических мер по обеспечению безопасности персональных данных на основании Политики оператора об обработке персональных данных.

5. Документы и (или) локальные акты, подтверждающие осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
К этому пункту относятся Заключения, полученные по результатам самостоятельного проведения внутреннего контроля или в рамках аудита соблюдения требований сторонними организациями.

6. Документы и (или) локальные акты, подтверждающие порядок оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом.
Согласно требованиям Приказа Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» результаты оценки вреда оформляются Актом оценки вреда.

7. Копии документов, подтверждающих ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Подтверждением ознакомления работников с положениями законодательства Российской Федерации о персональных данных может служить Лист ознакомления с нормативно-правовыми актами.

8. Копии документов и локальных актов, подтверждающих выполнение требований Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства от 15.09.2008 № 687, а именно:
– документы, подтверждающие принятие мер при обработке персональных данных по обеспечению в отношении каждой категории персональных данных возможности определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
– документы, подтверждающие принятие мер по обеспечению раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
– документы, подтверждающие принятие мер  по соблюдению условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ при хранении материальных носителей. Установленный оператором перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер;
– документы, подтверждающие информирование лиц, осуществляющих обработку ПДн без использования средств автоматизации (сотрудников оператора  и (или) лиц, осуществляющих такую обработку по договору с оператором) о факте обработки ими ПДн, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами оператора.
Подтверждением выполнения требований Положения будет являться Приказ об определении мест хранения персональных данных (материальных носителей) или аналогичный документ. Также необходимо подготовить Лист информирования работников о факте обработки ими ПДн, особенностях и правилах осуществления такой обработки.

9. Информация, подтверждающая соблюдение требований ч. 5 ст. 18 Закона в части обеспечения размещения баз персональных данных на территории Российской Федерации.
Подтверждением размещения баз персональных данных на территории Российской Федерации является договор с организацией, оказывающей Вам услуги хостинга, либо иное документальное подтверждения размещения серверных мощностей на территории России.

10. URL-адреса интернет-сайтов в сети «Интернет», используемых в деятельности оператора, посредством которых осуществляется обработка персональных данных.

Резюмируя приведенную выше информацию можно сделать вывод о том, что в ходе профилактического визита территориальными органами Роскомнадзора запрашивается около 10 различных локальных актов и документов. Подготовка каждого из них имеет ряд особенностей и требований, определенных в Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

В качестве дополнительной информации приводим для Вашего внимания примеры действительных запросов Управления Роскомнадзора по Центральному федеральному округу (г. Москва и Московская область) и Управления Роскомнадзора по Северо-Западному федеральному округу (г. Санкт-Петербург и Ленинградская область).

Воспользовавшись ими Вы можете подготовиться к предстоящему профилактическому мероприятию уже сегодня либо доверить этот вопрос профессионалам EasyInspect!

Контакты
Связаться с EasyInspect Связаться с EasyInspect Связаться с EasyInspect Связаться с EasyInspect


Ваша заявка успешно отправлена!

Форма не отправлена. Поля заполненны некорректно.

+7 (812) 711-11-08 +7 (499) 388-88-49

Связаться с нами

Наша почта: info@easyinspect.ru
Телефоны для связи: +7 (812) 711-11-08 +7 (499) 388-88-49