Что проверяет РКН в Уральском ФО?

Один из самых внушительных перечней документов, необходимых при проверке Роскомнадзором оператора персональных данных, размещен на сайте управления РКН по УрФО. В списке 20 пунктов, но многие пункты подразумевают предоставление нескольких дополнительных документов (регламенты, инструкции, журналы, списки и т.п.), таким образом, окончательное количество документов, необходимых для прохождения проверки РКН, остается неизвестным.

Смотрим:

Перечень документов, представление которых проверяемым лицом необходимо для достижения целей и задач проведения проверки:

- копия документа о назначении должностного лица или уполномоченного представителя, которое обязано представлять интересы юридического лица, индивидуального предпринимателя при проведении проверки;

- организационно – штатная структурная  схема юридического лица (до структурного подразделения);

-  журнал учета проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля.

- уведомление об обработке персональных данных;

- письмо о внесении изменений в уведомление об обработке персональных данных (в случае возникновения изменений должно быть отправлено не позднее 10 рабочих дней с даты их возникновения);

- документы, подтверждающие обработку заявленных оператором персональных данных: снимок экрана (скриншот) - в случае осуществления автоматизированной обработки персональных данных; локальные акты, устанавливающие перечень обрабатываемых оператором персональных данных;

- письменное согласие субъектов персональных данных (в том числе работников) на обработку их персональных данных, составленное в соответствии с требованиями ст. 9 Федерального закона № 152-ФЗ от 27.07.2006г. «Об обработке персональных данных»;

- документы (согласие субъектов персональных данных на обработку их данных, нормативные правовые акты), подтверждающие наличие полномочий у оператора на обработку специальных категорий персональных данных (состояние здоровья, расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние интимной жизни) и биометрических персональных данных, а также документы (локальные акты оператора), подтверждающие соблюдение требований законодательства Российской Федерации при обработке указанных категорий персональных данных;

- локальные акты, регламентирующие порядок и условия обработки персональных данных, (положения, инструкции об автоматизированной и (или) неавтоматизированной обработке персональных данных работников оператора, иных субъектов персональных данных; листы ознакомления сотрудников, допущенных к обработке персональных данных без использования средств автоматизации, о факте обработке ими персональных данных и иных обстоятельствах, предусмотренных п.6 Постановления Правительства РФ № 687 от 15.09.2008г.);

- локальные акты, устанавливающие порядок уничтожения, а также подтверждающие уничтожение оператором персональных данных субъектов персональных данных по достижении цели обработки (например, акты об уничтожении материальных носителей персональных данных);

-  описание помещений, в которых осуществляется обработка персональных данных: расположение, номера помещений; наличие охраны, режима обеспечения безопасности, оборудование помещений; общее количество рабочих мест, количество рабочих мест, на которых обрабатываются персональные данные; описание ЭВМ, носителей, на которых производится обработка персональных данных наименование, заводской, инвентарный номер (ЭВМ, носителей персональных данных); наличие средств шифрования (криптозащиты); средств имитозащиты (аппаратные, программные, аппаратно-программные средства, системы и комплексы) - наименование, заводской, инвентарный номер;

- локальные акты, определяющие список лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;

- локальные акты, устанавливающие лиц, ответственных за обработку перс. данных;

- договоры оператора с третьими лицами, в случае, если оператор на основании такого договора поручает им обработку персональных данных (договор обязательного медицинского страхования работающих граждан; договоры, о зачислении денежных средств на счета физических лиц (работников оператора) в соответствии с реестрами, предоставляемыми на электронных носителях; договоры с медицинским учреждением о прохождении обязательного медицинского осмотра работающих граждан);

- документы, подтверждающие выполнение оператором мер, предусмотренных статьями 18.1 и 19 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных»; документы, подтверждающие выполнение оператором при обработке персональных данных необходимых организационных мер для защиты персональных данных от неправомерного или случайного доступа к ним;

- журналы (книги) учёта применяемых средств защиты информации, носителей персональных данных (ЭВМ, дискеты и т.п.); сертификат (ФСТЭК, ФСБ) о возможности эксплуатации средств защиты информации; приказ о составе комиссии по классификации информационных систем персональных данных; документальное оформление присвоения информационной системе соответствующего класса (Акт о присвоении класса); электронный журнал обращений пользователей информационной системы на получение персональных данных; журнал учета периодических проверок информационной системы соответствующими должностными лицами (работниками) оператора или уполномоченного лица; соответствующие документы организации охраны, режима обеспечения безопасности (приказы, другие документы);

- журнал обращений граждан, локальный нормативный акт, утверждающий форму и порядок ведения журнала обращений граждан;

- типовые формы документов, предполагающие или допускающие содержание персональных данных (заявления, анкеты и др.);

- локальные акты оператора, регламентирующие порядок хранения материальных носителей персональных данных;

- журнал (реестр, книга) для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (при наличии).

А заканчивается сей шедевр административного искусства припиской: «перечень представляемых документов может быть уточнён в ходе проверки!». Т.е. как бы ни старался проверяемый выполнить требования регулятора, ему это не удастся.