суббота, 14 января 2012 г.

СЗПДн. Анализ. Перечень документов по ПДн при проверке Роскомнадзора


Роскомнадзор опубликовал план проверок в области персональных данных на 2012 год. Ссылка на выборку по ЮФО приведена тут
Кроме плановых, также могут быть и внеплановые проверки по обращениям субъектов ПДн.
Чтобы безболезненно пройти проверку, хорошо бы иметь отдельную папочку (бумажную или электронную) с документами, необходимыми для проверки. Что туда положить? Ответить на это поможет актуальный вариант “Перечня вопросов проверки юридических лиц ииндивидуальных предпринимателей по соблюдению законодательства РФ в областиперсональных данных”. (за документ спасибо uamigo с bankir.ru)



Привожу в таблице ниже документы требуемые Роскомнадзором при проверке и соответствующие им названия документов которые складываются в папку по ПДн из типовых проектов которые мне встречались:
Документ требуемый Роскомнадзором при проверке
Название документа из типового комплекта
1.                       
Уведомление Роскомнадзора
Копия уведомления
2.                       
Устав Организации
Копия устава
3.                       
Выдержки из законов, определяющих необходимость и содержание обработки ПДн
Учтенные в организации копии ФЗ
4.                       
Положение о персональных данных государственного служащего и ведении его личного дела
Зарегистрированная копия данного Положения из Указа Президента РФ № 609 от 30.05.2005.
5.                       
Договоры с провайдерами ССОП
Копии договоров с провайдерами ССОП
6.                       
Договоры об информационном взаимодействии с Контрагентами
Копии договоров с Контрагентами
7.                       
Договор с субъектом ПДн
Копия типового договора с субъектами ПДн
8.                       
Типовой трудовой договор с работниками
Копия типового трудового договора
9.                       
Договор с ЛООПДППО (Обработчиком)
Договор с Обработчиком
10.                    
Схемы передачи ПДн по каналам связи
Отчет об обследовании ИСПДн
11.                    
Документ, содержащий перечень и состав мер, принимаемых для выполнения требований 152-ФЗ и подзаконных актов.   (то есть в данном документе должны быть перечислены все принимаемые мероприятия связанные с ПДн и должны быть сделаны ссылки на все остальные документы связанные с ПДн.)
Положение о защите ПДн
или
Справка для Роскомнадзора
12.                    
Документ содержащий перечень мер, принимаемых при трансграничной передаче ПДн
13.                    
Документ содержащий перечень мер, принимаемых при работе со специальными категориями ПДн
14.                    
(При наличие биометрических данных) Описание используемых мер при работе с биометрическими носителями ПДн (обеспечения доступа, регистрации фактов несанкционированной записи)
15.                    
(При наличие биометрических данных) Документ, описывающий применение ЭЦП для носителей
16.                    
Документ, определяющий порядок допуска субъектов ПДн на территорию
Положение о защите ПДн

17.                    
Положение об обработке ПДн
Публичная политика обработки ПДн
Положение об обработке ПДн
18.                    
Положение об обработке ПДн сотрудника
19.                    
Документ, содержащий информацию о целях обработки ПДн, способах обработки, составе ПДн, сроках обработки ПДн, наличие трансграничной передачи ПДн, категория ПДн
Перечень ПДн
20.                    
Документ (например, приказ), определяющий ответственного за ведение перечня лиц
Приказ о назначении ответственности в области ПДн
21.                    
Документ (приказ), в котором назначен ответственный за организацию обработки ПДн и описаны его обязанности
22.                    
Должностные инструкции государственных служащих
Копии должностных инструкций, ответственных за обработку ПДн
23.                    
Согласие на обработку ПДн
Согласие сотрудника на обработку ПДн
Согласие клиента на обработку ПДн
24.                    
Согласия субъектов ПДн на трансграничную передачу
25.                    
Согласия субъектов ПДн на обработке специальных категорий
26.                    
Согласия субъектов ПДн на обработку биометрических ПДн
27.                    
Согласия субъектов ПДн на включение в общедоступные источники
28.                    
Акты приема и передачи сведений с Контрагентами на материальных носителях
Акты приема-передачи КИ
29.                    
(При наличие биометрических данных) Документ, в котором учитывается количество экземпляров материальных носителей
Журнал учета носителей биометрическах ПДн
30.                    
(При наличие биометрических данных) Материальный носитель биометрических данных
Носитель биометрических данных
31.                    
Номенклатура Дел
Номенклатура Дел содержащих ПДн
32.                    
Личная карточка сотрудника (Т-2)
Личная карточка сотрудника
33.                    
Печатные и электронные Формы документов с ПДн (с указанными на них ссылками на законодательные акты определяющие такое содержание)
Формы типовых документов с ПДн
34.                    
Документ, подтверждающий предоставление субъекту ПДн информации о начале обработки его ПДн за исключением законных случаев
Копия типового уведомления субъекта ПДн, журнал учета уведомлений
35.                    
Акты о выделении дел с ПДн к уничтожению 
Акты уничтожения ПДн
36.                    
Заявления субъектов ПДн на отзыв согласия
Копии заявлений субъектов ПДн
37.                    
Журнал учета проверок
Журнал учета проверок
38.                    
Документы учета обращений, заявлений и жалоб
Журнал учета обращений субъектов ПДн
39.                    
Журнал для пропуска субъектов ПДн на территорию
Журнал учета однократного пропуска на территорию
40.                    
Журнал информирования лиц, участвующих в неавтоматизированной обработке ПДн, о факте их участия в обработке
Журнал учета лиц, допущенных к обработке ПДн
41.                    
Документ, содержащий перечень лиц, имеющих доступ к материальным носителям ПДн
42.                    
Документы, подтверждающие учет лиц в ИСПДн
                                                                                                                                                          
Удивил тот факт, что не требуется публичная политика в области ПДн и не требуется подтверждение уведомления всех сотрудников, о том что их ПДн обрабатываются в соответствии с такой-то политикой. 

5 комментариев:

Andrey Prozorov комментирует...

Странно, что ничего нет по поводу:
- оценка ущерба субъектам ПДн // протокол, акт и/или МУ
- локальных актов Оператора по ПДн (про них есть ссылки в законе), могли бы хотя бы перечень запросить
- орг. и тех меры (про них есть ссылки в законе), могли бы хотя бы перечень запросить.

Кстати, можно вместо "журнала учета лиц..." использовать "перечень лиц допущенных ..." и "журнал инструктажа".

P.S. у Лукацкого давно был похожий пост, может пригодится http://lukatsky.blogspot.com/2009/04/blog-post_16.html

Andrey Prozorov комментирует...

и Т2 зачем? форма типовая...

Артем Агеев комментирует...

вообще в статье 18.1 и 19 152-фз достаточно четко написано что именно спрашивает ркн. спрашивать что-то более того что указано в фз запрещено их собственным регламентом.
т.ч не нужно писать лишнее.

Trotsky комментирует...

Хм, а первоисточник какой?

Сергей Борисов комментирует...

Trotsky, добавил про первоисточник в тексте.

Артем, прошу привести ссылку на пункт регламента, который вводил бы такие ограничения.

Документ, который я привел - это перечень документов, которые запрашивались на недавней проверке РКН.

Из самого документа видно, что ссылаются не только на 152-ФЗ но и на другие законодательные акты, в которых упоминается ПДн.