Проверка Роскомнадзора. К чему готовиться?

Всем привет! Управление Роскомнадзора по Ивановской области продолжает проверки операторов персональных данных. Сегодня опубликованы результаты проверки моего интернет-провайдера, ООО ТВОЙнет. Среди прочих нарушений выделим те, которые касаются 152-ФЗ «О персональных данных». Оператору вменяется нарушение:

части 4 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

части 7 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

части 1 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

пункта 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687;

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Думаю, второе нарушение связанно с неданим переездом компании. А вот зачем они хранят биометрически перснальные данные — для меня загадка. Это про фотографии с их форума что-ли? О_о.

Согласие субъекта на обработку должно соответствовать требованиям закона. Но вот, насколько помню, моего согласия у ООО «ТВОЙнет» нет. Ну и хранение документов, содержащих ПДн тоже должно быть упорядочено.

Поэтому настоятельно рекомендую проверить, в первую очередь, ваши документы. По Лукацкому, первое, что спрашивают проверяющие:

  • Положение о защите персональных данных
  • Положение о подразделении по защите информации;
  • Должностные регламенты лиц, ответственных за защиту ПДн
  • План мероприятий по защите ПДн
  • План внутренних проверок состояния защиты ПДн
  • Приказ о назначении ответственных лиц по ПДн
  • Договора с субъектами ПДн, лицензии на виды деятельности, в рамках которых осуществляется обработка ПДн, выписки из ЕГРЮЛ и т.д.
  • Журнал по учету мероприятий по контролю
  • Журнал учёта обращений субъектов ПДн о выполнении их законных прав
  • Копия уведомления РКН с исходящим номером и датой подписания
  • Письменные согласия субъекта ПДн на обработку ПДн
  • Список лиц, обрабатывающих ПДн, утверждённый оператором или уполномоченным лицом
  • Электронный журнал обращений пользователей информационной системы к ПДн
  • Журналы (книги) учёта ПДн
  • Правила пользования средствами защиты информации
  • Наличие заключения экспертизы ФСТЭК и ФСБ об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности ПДн при их обработке
  • Эксплуатационная и техническая документация
  • Отражение в трудовом договоре (контракте) ответственности работника за разглашение ПДн
  • Иные документы

Положение о защите должно включать:

  • наименование, адрес оператора
  • цель обработки ПДн
  • категории ПДн
  • категории субъектов, ПДн которых обрабатываются
  • правовое основание обработки ПДн
  • перечень действий с ПДн, общее описание используемых оператором способов обработки ПДн
    описание мер, которые оператор обязуется осуществлять при обработке ПДн, по обеспечению безопасности ПДн при их обработке
  • дата начала обработки ПДн
  • срок или условие прекращения обработки ПДн

Вот такой вот длинный список получается. Если вопросы будут, обращайтесь… 🙂

Связанные записи

Метки: , , , ,