Инструкция

иповая программа проверки

Типовой  регламент (программа)  ПРОЕКТ

проведения плановой выездной проверки деятельности, связанной с обработкой персональных данных

с использованием средств автоматизации и без использования таких средств

 

№№

пп

Проверяемые требования

Перечень представляемых документов и справок

Нормативные правовые акты, требования которых подлежат проверке

1

2

3

4

1.

 Осуществление проверки соответствия сведений, содержащихся в уведомлении об обработке персональных данных с имеющимися в наличии, в том числе сведений о трансграничной передаче персональных данных.

 

Копия Уведомления об обработке персональных данных.

 

Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных» (ст. 22).

2.

При выявлении несоответствия заявленных и реальных сведений, проверяется выполнение оператором требований направления Уведомления о внесении изменений  в ранее представленное Уведомление.

Копии документов, подтверждающих проведение данного мероприятия.

Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных»

 (ч.7 ст.22).

 

3.

Проверка соблюдения условий обработки персональных данных, установленных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных». 

 

3.1. Копии документов, подтверждающих наличие у оператора согласия субъектов на обработку их персональных данных.

3.2. Копии документов, подтверждающих возможность обработки персональных данных без получения согласия субъектов.

Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных»

(ст.6).

4.

Проверка наличия существенного условия о соблюдении конфиденциальности и безопасности персональных данных в случае, если оператор поручает обработку персональных данных третьему лицу.

 

4.1. Договор оператора персональных данных с третьими лицами на обработку персональных данных.

 

Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных»   (ч. 4 ст. 6).

5.

Проверка наличия у оператора оснований для обработки персональных данных без обеспечения их конфиденциальности (обезличенные ПДн, общедоступные ПДн).

5.1. Документы, подтверждающие наличие оснований для обработки персональных данных без обеспечения их конфиденциальности.

Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных»   (ч. 2 ст. 7).

6.

Проверка наличия оснований для обязательного предоставления субъектом его персональных данных.

6.1. Документы, подтверждающие наличие у оператора права требовать от субъекта обязательного предоставления своих персональных данных.

 

Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных»   (ч. 2 ст. 9).

7.

Проверка порядка обработки специальных категорий  персональных данных (при наличии).

7.1. Документы, устанавливающие порядок обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, в том числе определяющие правовые основания такой обработки.

Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных»  (ст. 10).

8.

Проверка порядка обработки биометрических персональных данных (при наличии).

 

8.1. Документы, устанавливающие порядок обработки биометрических персональных данных.

8.2. Письменное согласие субъекта персональных данных на обработку его биометрических персональных данных.

8.3. Документы, дающие оператору правовые основания осуществлять обработку биометрических персональных данных без получения письменного согласия субъекта персональных данных на их обработку.

 

Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных»  (ст. 11).

9.

Проверка трансграничной передачи персональных данных (при наличии).

9.1. Документы, определяющие порядок трансграничной передачи персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.

9.2. Документы, дающие оператору право осуществлять трансграничную передачу персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных, в том числе в случаях:

9.2.1. наличия согласия в письменной форме субъекта персональных данных;

9.2.2. предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;

9.2.3. предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;

9.2.4. исполнения договора, стороной которого является субъект персональных данных;

9.2.5. защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

 

Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных»  (ст. 12).

10.

Проверка выполнения оператором обязанностей при сборе персональных данных.

10.1. Документы, подтверждающие предоставление субъекту персональных данных по его просьбе информации, предусмотренной частью 4 статьи 14 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных».

10.2.  Документы, определяющие порядок действий оператора в случае отказа субъекта предоставить свои персональные данные.

10.3. Документы, устанавливающие порядок действий оператора с персональными данными, полученными от третьих лиц.

 

Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных»   (ст. 18).

11.

Проверка мер по обеспечению безопасности персональных данных при их обработке

 

11. Документы, подтверждающие реализацию мер по обеспечению безопасности персональных данных.

Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных»   (ст. 19).

12.

Проверка обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

(в части реализации необходимых организационных мер, для защиты персональных данных от неправомерного или случайного доступа к ним).

12. 1. Документы, подтверждающие выполнение мер по исключению несанкционированного, в том числе случайного, доступа к персональным данным (п. 1, 8, 13):

12.1.1. наличие помещения, выделенного для обработки персональных данных (наименование, номер) (п. 8);

12.1.2. наличие  перечня лиц имеющих допуск в помещение (п. 8);

12.1.3. наличие приказа о назначение сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационной системе (п. 13).

 

12.2. Документы, подтверждающие наличие существенного условия об обеспечении конфиденциальности персональных данных и безопасности персональных данных при их обработке в информационной системе, в случае, если оператор поручает обработку персональных данных в информационной системе третьим лицам (п. 10).

 

12.3. Список лиц, обрабатывающих персональные данные, утверждённый оператором или уполномоченным лицом (п. 14).

 

12.4. Документы, подтверждающие наличие электронного журнала обращений пользователей на получение персональных данных из информационной системы (п.15).

 

12.5. Распечатки копий экранов, содержащие поля для заполнения персональными данными.

12.6. Документы, подтверждающие Наличие и порядок обмена персональными данными при их обработке в информационных системах (п. 7).

 

Постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

 

 

 

12.7. Приказа о составе комиссии по классификации информационных систем персональных данных (копия).

 

12.8. Акта оператора о классификации  информационных систем персональных данных (копия).

 

12.9. Наличие модели угроз безопасности персональных данных (только при наличии специальных информационных систем).

Приказ от 13.02.2008 ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи  России № 20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» (зарегистрирован в Минюсте РФ 03.04.2008 № 11462).

 

13.

Проверка обработки персональных данных, осуществляемой без использования средств автоматизации.

 

13.1. Правила обработки персональных данных, осуществляемых без средств автоматизации (п.3 Положения).

 

13.2. Копия шаблонов документов, содержащих  персональные данные (формы, бланки и поля заполнения), определенных оператором, заверенных оператором (п.4).

 

13.3. Документы, подтверждающие наличие отдельных материальных носителей для каждой категории персональных данных (п.5).

 

13.4. Документы, подтверждающие информирование сотрудников, обрабатывающих персональные данные о Правилах их обработки (п.6).

 

13.5. Типовые формы, в которые предполагается или допускается включение персональных данных. Соответствие этих форм обязательным требованиям (п.7).

 

13.6. Журнал (реестры, книги) для пропуска субъекта персональных данных на территорию оператора.  Соблюдение обязательных требований к указанным документам (п.8).

 

13.7. Документы, подтверждающие соблюдение порядка уничтожения или обезличивания части персональных данных (п.п. 9-12).

 

13.8. Документы, определяющие места хранения персональных данных (материальных носителей) (п. 13).

 

13.9 Документы, определяющие перечень лиц, осуществляющих обработку персональных данных без использования средств автоматизации (п. 13).

 

13.10. Документы, подтверждающие организацию раздельного хранения персональных данных различных категорий (п.14).

 

13.11. Документы, подтверждающие соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ (п. 15).

 

Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

14.

Проверка соблюдения требований  при обработке персональных данных работника кадровой службой.

 

14.1. Наличие Порядка хранения и использования персональных данных работников (ст. 87).

 

14.2. Соблюдение требований при передаче персональных данных работника      (ст. 88).

Глава 14 Трудового кодекса Российской Федерации.

15.

Проверка филиалов и представительств.

 

Филиалы в других регионах и районах области.

 

         

 

Примечание: Перечень документов и справок, запрашиваемых от проверяемого лица, может быть уточнен и дополнен в процессе проведения проверки.