Чек-лист обработки и защиты персональных данных
Актуальность материала: 15.12.2025
Чек-лист состоит из 120 основных контролей обработки и защиты ПД в организации:
- Руководство и учет в области ПД
- Целенаправленность и пропорциональность обработки ПД
- Основания обработки ПД
- Сбор, использование, хранение и уничтожение ПД
- Передача ПД и соглашения с третьими лицами
- Коммуникация и взаимодействие с субъектами ПД
- Коммуникация и взаимодействие с уполномоченными органами
- Осведомленность и обучение персонала, допущенного к обработке ПД
- Контроль отклонений и реагирование на инциденты
- Безопасность обработки ПД
Чек-лист дополнительно включает:
⚡️Меры юридической ответственности для юридических лиц и должностных лиц за невыполнение контролей;
⚠️Риск-факторы повышения вероятности контрольных (надзорных) мероприятий в области ПД
Чек-лист основных контролей обработки и защиты персональных данных (ПД) в организации
Чек-лист основных контролей обработки и защиты персональных данных (ПД) в организации
| № | Раздел | Критичность санкций |
| — | — | — |
| 🚧 | 1 Руководство и учет в области ПД | ⚡ |
| ⚖️ | 2 Целенаправленность и пропорциональность обработки ПД | ⚡ |
| 📝 | 3 Основания обработки ПД | ⚡⚡ |
| 💽 | 4 Сбор, использование, хранение и уничтожение ПД | ⚡⚡⚡ |
| 📬 | 5 Передача ПД и соглашения с третьими лицами | ⚡⚡ |
| 📢 | 6 Коммуникация и взаимодействие с субъектами ПД | ⚡ |
| 🏛️ | 7 Коммуникация и взаимодействие с уполномоченными органами | ⚡ |
| 📒 | 8 Осведомленность и обучение персонала, допущенного к обработке ПД | ⚡ |
| 🔒 | 9 Безопасность обработки ПД | ⚡⚡⚡ |
| 🔦 | 10 Контроль отклонений и реагирование на инциденты | ⚡⚡ |
| ⚡ | Приложение 1: Меры юридической ответственности для юридических лиц и должностных лиц | |
| ⚠️ | Приложение 2: Риск-факторы повышения вероятности контрольных (надзорных) мероприятий в области ПД | |
| 📚 | Приложение 3: Сокращения и аббревиатуры |
—
### Основная таблица контролей
| № | Контроль (нормативное правовое требование) | Нормативные ссылки | ⚡ Санкции | ⚠️ Риск-факторы |
| — | — | — | — | — |
| 🚧 Руководство и учет в области ПД | ||||
| 1.1 | DPO назначен, подотчетен и получает указания непосредственно от исполнительного органа организации-оператора | 152-ФЗ ст.18.1 ч.1 п.1, ст.22.1 ч.ч.1-2 | ─ | РКН-253 вопр.31, 47 |
| 1.2 | DSO назначен, либо создано структурное подразделение, ответственное за обеспечение безопасности ПД в ИСПД, либо на одно из существующих структурных подразделений возложены функции по обеспечению такой безопасности | ПП-1119 п.14, п.16 пп.«б» | КоАП ст.13.12 ч.6 | ─ |
| 1.3 | Установлен и утвержден оператором перечень лиц (должностей), привлеченных (допущенных), в том числе в ИСПД, к автоматизированной и (или) неавтоматизированной обработке ПД в минимально необходимом для выполнения конкретных функций объеме | ТК ст.88 абз.6, ПП-1119 п.13 пп.«в», ПП-687 п.13 | ─ | РКН-253 вопр.62, 67 |
| 1.4 | Определен перечень лиц, ответственных за реализацию мер по обеспечению сохранности и исключающих несанкционированный доступ к ПД при хранении их материальных носителей | ПП-687 п.15 | КоАП ст.13.11 ч.6 | РКН-253 вопр.64 |
| 1.5 | В распоряжении DPO есть все необходимые сведения об обработке и защите ПД в организации-операторе | 152-ФЗ ст.22 ч.ч.3-3.1, ст.22.1 ч.3 | ─ | МЦ-1187 п.3, РКН-253 вопр.48 |
| 1.6 | Определен состав ИСПД, включая состав и объем обрабатываемых ПД, используемые технологии и объекты инфраструктуры, наличие доступа из внешних сетей | ПП-1119 п.3 | ─ | ─ |
| 1.7 | Определены места хранения материальных (в том числе машинных) носителей ПД и ведется учет носителей ПД | 152-ФЗ ст.19 ч.2 п.5, ПП-687 п.13 | ─ | РКН-253 вопр.62 |
| 1.8 | Издание документов, определяющих политику оператора в отношении обработки ПД (в т.ч. на информационных ресурсах), и локальных актов по вопросам обработки ПД персонала и иных субъектов ПД, в т.ч. определяющих для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов ПД, способы и сроки обработки (в т.ч. хранения) ПД | 152-ФЗ ст.18.1 ч.1 п.2, ТК ст.87 | ─ | МЦ-1187 п.3, РКН-253 вопр.31, 66 |
| 1.9 | Документы и локальные акты о ПД не содержат положения, ограничивающие права субъектов ПД, а также возлагающие на Оператора не предусмотренные законодательством РФ полномочия и обязанности | 152-ФЗ ст.18.1 ч.1 п.2, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | ─ | РКН-253 вопр.31 |
| ⚖️ Целенаправленность и пропорциональность обработки ПД | ||||
| 2.1 | Законная и справедливая обработка ПД ведется согласно разумным ожиданиям субъектов ПД и не оказывает на них неоправданное негативное воздействие | 152-ФЗ ст.5 ч.1 | ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | ─ |
| 2.2 | Обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей, а также исключается обработка ПД, несовместимая с изначально определёнными целями | 152-ФЗ ст.5 ч.2, ТК ст.86 п.1 | КоАП ст.5.27 ч.ч.1-2, ст.13.11 ч.ч.1-1.1, ТК ст.ст.90, 232 ч.1, 233 ч.1; 152-ФЗ ст.24 ч.2, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2, УК ст.ст.137, 138, 155, 183, 272, 272.1 ч.ч.1-5, 273, 274, 274.1 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, КоАП ст.28.1 ч.3.5 п.1, РКН-253 вопр.1 |
| 2.3 | Обработка ПД не ведется в одних и тех же БД, и ПД не фиксируются на одних и тех же материальных носителях в несовместимых между собой целях | 152-ФЗ ст.5 ч.3, ПП-687 п.5 | КоАП ст.13.11 ч.ч.1-1.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, КоАП ст.28.1 ч.3.5 п.1, РКН-253 вопр.58 |
| 2.4 | Содержание (состав), объем и способы обработки ПД соответствуют целям обработки и не являются избыточными | 152-ФЗ ст.5 ч.ч.4-5, ТК ст.86 п.2 | КоАП ст.5.27 ч.ч.1-2, ТК ст.ст.90, 232 ч.1, 233 ч.1; 152-ФЗ ст.24 ч.2, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | ПП-1046 Прил. п.3 пп.«а», п.4 пп.«а», п.5 пп.«б», РКН-253 вопр.2 |
| 2.5 | Обрабатываемые ПД соответствуют заданным критериям качества (точность, достаточность/полнота, актуальность) | 152-ФЗ ст.5 ч.6 | ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | ─ |
| 2.6 | Сведения о судимости не обрабатываются, за исключением прямо предусмотренных законом случаев | 152-ФЗ ст.10 ч.3 | УК ст.137, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | РКН-253 вопр.12 |
| 2.7 | Решения, затрагивающие интересы персонала, не основываются на ПД, полученных исключительно в результате их автоматизированной обработки или электронного получения | ТК ст.86 п.6 | КоАП ст.5.27 ч.ч.1-2, ТК ст.ст.90, 232 ч.1, 233 ч.1; 152-ФЗ ст.24 ч.2, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | ─ |
| 2.8 | Субъект ПД (в т.ч. потребитель) предоставляет ПД, в т.ч. биометрические ПД и (или) согласие на обработку биометрических ПД, только если такая обязанность предусмотрена законом или непосредственно связана с исполнением договора с субъектом ПД | 152-ФЗ ст.11 ч.3, ЗоЗПП ст.16 ч.4 абз.1 | КоАП ст.14.8 ч.ч.7-8, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2, УК ст.137 | РКН-253 вопр.19 |
| 📝 Основания обработки ПД | ||||
| 3.1 | Выбрано и используется надлежащее правовое основание для обработки ПД и возможность предоставлять доказательство его наличия заинтересованным лицам (включая журналирование юридически значимых действий пользователей информационных ресурсов, а также проверку полномочий представителя субъекта на дачу СОПД от имени субъекта) | 152-ФЗ ст.6 ч.1, ст.9 ч.ч.1, 3, ст.10.1 ч.2, ГК ст.152.1 ч.1, ст.152.2 ч.1 абз.1 | КоАП ст.5.27 ч.ч.1-2, ст.13.11 ч.ч.1-1.1, ТК ст.ст.90, 232 ч.1, 233 ч.1; 152-ФЗ ст.24 ч.2, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2, УК ст.ст.137, 138, 272.1 ч.6 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, КоАП ст.28.1 ч.3.5 п.1, ПП-1046 Прил. п.2 пп.«в», МЦ-1187 п.2, РКН-253 вопр.3, 9, 15 |
| 3.2 | Практикуется надлежащая модель получения СОПД, в рамках которой субъект принимает решение о даче СОПД свободно, своей волей и в своем интересе, само СОПД является конкретным, предметным, информированным, сознательным и однозначным, а также оформляется отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект | 152-ФЗ ст.9 ч.1 | КоАП ст.13.11 ч.ч.1-2.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, КоАП ст.28.1 ч.3.5 п.1 |
| 3.3 | Соблюдение требований к письменной форме СОПД на бумажном носителе или к СОПД в форме электронного документа | 152-ФЗ ст.9 ч.4, 63-ФЗ ст.6 | КоАП ст.13.11 ч.ч.2-2.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, КоАП ст.28.1 ч.3.5 п.1, РКН-253 вопр.10 |
| 3.4 | Заключение договора (в т.ч. трудового и потребительского) с субъектом ПД по инициативе последнего и исполнение договора с субъектом ПД как стороной, выгодоприобретателем или поручителем | 152-ФЗ ст.6 ч.1 п.5, ГК ст.ст. 152.1 ч.1 п.3, 152.2 ч.2 | КоАП ст.13.11 ч.ч.1-1.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, КоАП ст.28.1 ч.3.5 п.1, РКН-253 вопр.3 |
| 3.5 | Договор (в т.ч. трудовой и потребительский) с субъектом ПД не содержит положения: (1) ограничивающие права и свободы субъекта ПД, а также ущемляющие права потребителя или ухудшающие положение работника – как субъектов ПД; (2) устанавливающие случаи обработки ПД несовершеннолетних, если иное не предусмотрено законом; (3) допускающие в качестве условия заключения договора бездействие субъекта ПД | 152-ФЗ ст.6 ч.1 п.5, ЗоЗПП ст.16 ч.2, п.п.1, 5, 15, ТК ст.57 ч.4, ст.74 ч.8 | КоАП ст.5.27 ч.ч.1-2, ст.13.11 ч.ч.1-1.1, ст.14.8 ч.ч.7-8, ТК ст.ст.90, 232 ч.1, 233 ч.1; 152-ФЗ ст.24 ч.2, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, КоАП ст.28.1 ч.3.5 п.1, ПП-1046 Прил. п.3 пп.«а», РКН-253 вопр.3 |
| 3.6 | Осуществление прав и законных интересов оператора или третьих лиц, либо осуществление общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД | 152-ФЗ ст.6 ч.1 п.7, ГК ст.152.1 ч.1 п.п.1-2, ст.152.2 ч.1 абз.2 | КоАП ст.13.11 ч.ч.1-1.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, КоАП ст.28.1 ч.3.5 п.1, РКН-253 вопр.3 |
| 3.7 | Осуществление научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПД | 152-ФЗ ст.6 ч.1 п.8, ГК ст.152.1 ч.1, ст.152.2 ч.3 | КоАП ст.13.11 ч.ч.1-1.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, КоАП ст.28.1 ч.3.5 п.1, РКН-253 вопр.3 |
| 3.8 | Получение СОПД или наличие иных правовых оснований на поручение обработки ПД | 152-ФЗ ст.6 ч.3 | КоАП ст.13.11 ч.ч.1-1.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | КоАП ст.28.1 ч.3.5 п.1, РКН-253 вопр.4 |
| 3.9 | Получение письменного СОПД на включение ПД в общедоступные источники в целях информационного обеспечения | 152-ФЗ ст.8 ч.1 | КоАП ст.13.11 ч.ч.2-2.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, КоАП ст.28.1 ч.3.5 п.1, РКН-253 вопр.7 |
| 3.10 | Получение СОПД недееспособного субъекта ПД у его законного представителя | 152-ФЗ ст.9 ч.6 | ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | ПП-1046 Прил. п.3 пп.«а» |
| 3.11 | Получение СОПД умершего субъекта ПД у его наследников (если СОПД не было получено при жизни субъекта ПД) | 152-ФЗ ст.9 ч.7, ГК ст.152.2 ч.5 | ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | ─ |
| 3.12 | Обработка специальных категорий ПД только при наличии письменного СОПД или в иных предусмотренных законом случаях | 152-ФЗ ст.10 ч.ч.2-2.1 | КоАП ст.13.11 ч.ч.2-2.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, КоАП ст.28.1 ч.3.5 п.1, ПП-1046 Прил. п.2 пп.«а», РКН-253 вопр.11 |
| 3.13 | Получение отдельного и правильно оформленного согласия на распространение ПД | 152-ФЗ ст.10.1 ч.1, РКН-18, РКН-106 | ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | ПП-1046 Прил. п.4 пп.«г», МЦ-1187 п.2, РКН-253 вопр.13-14 |
| 3.14 | Обработка биометрических ПД только при наличии письменного СОПД или в иных предусмотренных законом случаях | 152-ФЗ ст.11 ч.ч.1-2 | КоАП ст.13.11 ч.ч.2-2.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, КоАП ст.28.1 ч.3.5 п.1, ПП-1046 Прил. п.2 пп.«а», «в», РКН-253 вопр.18 |
| 3.15 | Осуществление трансграничной передачи ПД только при наличии СОПД или в некоторых иных предусмотренных законом случаях | 152-ФЗ ст.6 ч.1, ст.12 ч.1 | КоАП ст.13.11 ч.ч.1-1.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, КоАП ст.28.1 ч.3.5 п.1, ПП-1046 Прил. п.2 пп.«д», п.3 пп.«г», п.4 пп.«в», РКН-253 вопр.3 |
| 3.16 | Получение СОПД для продвижения товаров, работ, услуг на рынке и для направления иной рекламной информации, а также для политической агитации путем осуществления прямых контактов с помощью средств связи (в т.ч. посредством массовых и/или автоматических телефонных вызовов) или иным образом | 152-ФЗ ст.15 ч.1, 38-ФЗ ст.18 ч.1, 126-ФЗ ст.ст.44.1, 44.1-1, 135-ФЗ ст.14.8 | КоАП ст.14.3 ч.ч.1, 4.1, ст.14.33 ч.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | РКН-253 вопр.24 |
| 3.17 | Принятие решений в отношении субъектов ПД на основании исключительно автоматизированной обработки ПД только при наличии письменного СОПД или иных в предусмотренных законом случаях | 152-ФЗ ст.16 ч.2 | КоАП ст.13.11 ч.ч.2-2.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, КоАП ст.28.1 ч.3.5 п.1, РКН-253 вопр.26 |
| 3.18 | Обезличивание ПД только при наличии СОПД либо в иных предусмотренных законом случаях | 152-ФЗ ст.6 ч.1 п.п.1, 9, 9.1 | КоАП ст.13.11 ч.ч.1-1.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, КоАП ст.28.1 ч.3.5 п.1, ПП-1046 Прил. п.2 пп.«в», п.2 пп.«е», п.3 пп.«д», РКН-253 вопр.3 |
| 3.19 | Разъяснение субъекту ПД юридических последствий отказа предоставить ПД и (или) дать СОПД, когда предоставление ПД и (или) получение СОПД является обязательным по закону | 152-ФЗ ст.18 ч.2 | ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | ПП-1046 Прил. п.2 пп.«в», РКН-253 вопр.28 |
| 3.20 | Предварительное предоставление субъекту ПД информации об обработке ПД при их получении не от самого субъекта ПД (включая мониторинг пользователей информационных ресурсов и их поведения) | 152-ФЗ ст.18 ч.ч.3-4 | ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | РКН-253 вопр.29 |
| 3.21 | Обработка ПД персонала только для обеспечения соблюдения законов и иных нормативных правовых актов, содействия персоналу в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности персонала, контроля количества и качества выполняемой работы и обеспечения сохранности имущества | ТК ст.86 п.1 | КоАП ст.5.27 ч.ч.1-2, ТК ст.ст.90, 232 ч.1, 233 ч.1; 152-ФЗ ст.24 ч.2, УК ст.ст.137, 138 | ─ |
| 3.22 | Получение ПД персонала у третьей стороны только при наличии письменного СОПД персонала и при условии предварительного уведомления персонала | ТК ст.86 п.3 | КоАП ст.5.27 ч.ч.1-2, ст.13.11 ч.ч.2-2.1, ТК ст.ст.90, 232 ч.1, 233 ч.1; 152-ФЗ ст.24 ч.2, УК ст.137 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, КоАП ст.28.1 ч.3.5 п.1 |
| 3.23 | Обработка информации о состоянии здоровья и иных специальных категорий ПД персонала только в том объеме, который относится к вопросу о возможности выполнения трудовой функции, за исключением предусмотренных законом случаев | ТК ст.86 п.4, ст.88 абз.7 | КоАП ст.5.27 ч.ч.1-2, ТК ст.ст.90, 232 ч.1, 233 ч.1; 152-ФЗ ст.24 ч.2, УК ст.137 | ПП-1046 Прил. п.2 пп.«а», РКН-253 вопр.67 |
| 3.24 | Обработка ПД персонала о членстве в общественных объединениях или его профсоюзной деятельности только в предусмотренных законом случаях | ТК ст.86 п.5 | КоАП ст.5.27 ч.ч.1-2, ТК ст.ст.90, 232 ч.1, 233 ч.1; 152-ФЗ ст.24 ч.2, УК ст.137 | ─ |
| 3.25 | Передача ПД персонала (в т.ч. в коммерческих целях) третьей стороне только при наличии письменного СОПД или когда это необходимо в целях предупреждения угрозы жизни и здоровью персонала либо в иных в предусмотренных законом случаях | ТК ст.88 абз.2-3 | КоАП ст.5.27 ч.ч.1-2, ст.13.11 ч.ч.2-2.1, ТК ст.ст.90, 232 ч.1, 233 ч.1; 152-ФЗ ст.24 ч.2, УК ст.137 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, КоАП ст.28.1 ч.3.5 п.1, РКН-253 вопр.67 |
| 💽 Сбор, использование, хранение и уничтожение ПД | ||||
| 4.1 | При сборе ПД граждан РФ запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПД осуществляются исключительно с использованием БД в РФ, а также хранение в РФ документов и БД бухгалтерского учета | 152-ФЗ ст.18 ч.5, 149-ФЗ ст.16 ч.4 п.7, ФСБУ 27/2021 п.25 | КоАП ст.13.11 ч.8-9, ст.19.5.2, 152-ФЗ ст.23 ч.3 п.3.1 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, ПП-1046 Прил. п.2 пп.«г», п.3 пп.«в», РКН-253 вопр.30 |
| 4.2 | Обособление ПД при обработке без использования средств автоматизации от иной информации, в частности путем фиксации ПД на отдельных материальных носителях, в специальных разделах или на полях форм (бланков) | ПП-687 п.4 | ─ | ─ |
| 4.3 | Надлежаще оформленные типовые формы документов, предполагающие или допускающие включение в них ПД | ПП-687 п.7 | ─ | РКН-253 вопр.60 |
| 4.4 | Надлежащее ведение журналов (реестров, книг) с ПД, необходимых для однократного пропуска субъекта ПД на территорию оператора | ПП-687 п.8 | ─ | РКН-253 вопр.61 |
| 4.5 | Раздельная обработка ПД, зафиксированных на одном материальном носителе, при несовместимости целей обработки таких ПД | ПП-687 п.9 | КоАП ст.13.11 ч.ч.1-1.1 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, КоАП ст.28.1 ч.3.5 п.1 |
| 4.6 | Раздельное хранение материальных носителей с ПД, обработка которых осуществляется в различных целях без использования средств автоматизации | ПП-687 п.14 | ─ | РКН-253 вопр.63 |
| 4.7 | ПД хранятся не дольше, чем этого требуют цели их обработки | 152-ФЗ ст.5 ч.7, ТК ст.87 | КоАП ст.5.27 ч.ч.1-2, ТК ст.ст.90, 232 ч.1, 233 ч.1; 152-ФЗ ст.24 ч.2, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | РКН-253 вопр.66 |
| 4.8 | Локальным актом определен порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований, а также осуществляется надлежащее уничтожение ПД и подтверждение этого факта | 152-ФЗ ст.18.1 ч.1 п.2, ст.21 ч.7, РКН-179, МЦ-1015 | ─ | РКН-253 вопр.31, 43(1) |
| 4.9 | Уничтожение части ПД, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку ПД с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание) | ПП-687 п.10 | КоАП ст.13.11 ч.6 | ПП-1046 Прил. п.п.2, 4 |
| 4.10 | Надлежащая организация хранения, комплектования, учета и использования архивных документов, в т.ч. содержащих ПД, определение ответственные за сохранность архива, издание соответствующих локальных актов и регламентация процедур для поддержания архива | 152-ФЗ ст.1 ч.2 п.2, 125-ФЗ ст.13 ч.2, ст.17 ч.1, ст.22.1, ст.24 ч.2 | КоАП ст.13.20 | ─ |
| 4.11 | Определение и соблюдение надлежащего порядка обработки подлежащих обезличиванию ПД (в т.ч. зафиксированных на материальных носителях), осуществления деятельности по обезличиванию ПД (автоматизированном и/или неавтоматизированному), применения и оценки достаточности применяемого метода (методов) обезличивания ПД, обработки обезличенных ПД | 152-ФЗ ст.5 ч.7, ст.23 ч.12, ПП-687 п.10, РКН-140 | КоАП ст.13.11 ч.ч.1-1.1 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, ПП-1046 Прил. п.2 пп.«е», п.3 пп.«д» |
| 4.12 | Обезличивание ПД в соответствии с нормативно установленными требованиями, методами и порядком обезличивания ПД, а также последующее предоставление обезличенных ПД (с исключением наличия в обезличенных ПД информации, доступ к которой ограничен федеральными законами) в ФГИС «НСУД» | 152-ФЗ ст.6 ч.1 п.9.1, ст.13.1 ч.ч.2-3, ПП-733, ПП-538, ПП-702, ПП-961, ПП-966, ПП-1154 | КоАП ст.13.11 ч.ч.1-1.1 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, ПП-1046 Прил. п.2 пп.«е» |
| 4.13 | Проведение законным способом авторизации в отношении находящихся в РФ пользователей российских сайтов, мобильных приложений, информационных систем и программного обеспечения, предоставляющих доступ к информации в них только авторизованным пользователям, а также соблюдения запрета на неправомерную передачу информации для регистрации и (или) авторизации пользователя сети «Интернет» для получения доступа к функциональным возможностям информационного ресурса иному лицу | 149-ФЗ ст.8 ч.10 | КоАП ст.13.29.2, ст.13.53* [проект], УК ст.274.5 | ─ |
| 4.14 | Применение в отношении пользователей сети «Интернет» рекомендательных технологий, не нарушающих права и законные интересы граждан и организаций, а также не допущение применения рекомендательных технологий в целях противоправного предоставления информации | 149-ФЗ ст.10.2-2 ч.1 п.1 | КоАП ст.13.54 ч.ч.1, 4-6 [проект] | 149-ФЗ ст.10.2-2 ч.ч.5-8, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2, МЦ-1187 п.4 |
| 4.15 | Автоматизированная биометрическая идентификация и (или) аутентификация физических лиц с использованием ФГИС «ЕСИА» или автоматизированная биометрическая аутентификация физических лиц с использованием прошедших аккредитацию коммерческих биометрических систем | 572-ФЗ ст.ст.9, 10, 15, 16, ПП-405, ПП-408, ПП-451, ПП-478, ПП-810, ПП-815, ПП-883, МЦ-453, МЦ-1024 | КоАП ст.13.11.3 ч.ч.1-2, 4, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | КоАП ст.28.1 ч.3.5 п.1, ПП-1046 Прил. п.2 пп.«а», ПП-585 Прил. п.п.2-4 |
| 4.16 | При обработке обезличенных ПД в ФГИС «НСУД» соблюдаются применимые правила, ограничения и запреты, включая запрет на выгрузку обезличенных ПД из ФГИС «НСУД» и (или) предоставление результатов обработки составов ПД иностранным лицам | 152-ФЗ ст.13.1 ч.ч.10-12 | КоАП ст.13.11 ч.ч.1-1.1 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3 |
| 📬 Передача ПД и соглашения с третьими лицами | ||||
| 5.1 | Соблюдение конфиденциальности ПД, т.е. не раскрытие ПД третьим лицам и не распространение ПД без надлежащего правового основания | 152-ФЗ ст.7, 149-ФЗ ст.16 ч.1 п.2, ТК ст.88 абз.2-3, ГК ст.ст.152.1 ч.1, 152.2 ч.ч.2-3 | КоАП ст.13.11 ч.ч.1-2.1, 12-18, ст.13.14, 152-ФЗ ст.23 ч.3 п.3.1, ТК ст.192 ч.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2, УК ст.ст.137, 138, 155, 183, 272, 272.1 ч.ч.1-5, 273, 274, 274.1 | 248-ФЗ ст.60 ч.2 п.5, РКН-253 вопр.6, 67 |
| 5.2 | Обеспечение необходимых договорных положений при поручении осуществлять обработку ПД – как оператором в адрес третьих лиц, так и третьими лицами в адрес оператора | 152-ФЗ ст.6 ч.3, ст.7, ст.18 ч.5, ст.18.1 ч.1, ст.19 ч.ч.2, 12, ст.21 ч.3.1, ТК ст.88 абз.4, ПП-1119 п.3 | КоАП ст.5.27 ч.ч.1-2, ст.13.11 ч.1-1.1 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, ТК ст.ст.90, 232 ч.1, 233 ч.1; 152-ФЗ ст.24 ч.2, ГК ст.ст.151, 432, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2, КоАП ст.28.1 ч.3.5 п.1, РКН-253 вопр.5, 30, 31, 40(1), 67 |
| 5.3 | Обеспечение необходимых договорных положений между оператором и третьими лицами при передаче/получении ПД без поручения их обработки | 152-ФЗ ст.6 ч.1, ст.7, ст.9 ч.8, ст.18 ч.ч.4-5, ст.19 ч.ч.1, 12, ст.21 ч.3.1, ТК ст.88 абз.4 | КоАП ст.5.27 ч.ч.1-2, ст.13.11 ч.1-1.1 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, ТК ст.ст.90, 232 ч.1, 233 ч.1; 152-ФЗ ст.24 ч.2, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2, КоАП ст.28.1 ч.3.5 п.1, РКН-253 вопр.3, 40(1), 67 |
| 5.4 | Принятие разумных мер для уведомления (извещения) третьих лиц о прекращении действия правовых оснований для передачи ПД таким лицам и для обработки ранее полученных такими лицами ПД, а также об обоснованной необходимости внесения третьими лицами изменений (исключений, исправлений, дополнений) в ранее переданные им ПД | 152-ФЗ ст.20 ч.3, ТК ст.89 абз.7 | КоАП ст.5.27 ч.ч.1-2, ст.13.11 ч.1-1.1 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3, ТК ст.ст.90, 232 ч.1, 233 ч.1; 152-ФЗ ст.24 ч.2, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 |
| 5.5 | Получение от зарубежного получателя ПД необходимых сведений для оценки допустимости трансграничной передачи ПД до её начала | 152-ФЗ ст.12 ч.5, ПП-24, РКН-128 | ─ | ПП-1046 Прил. п.2 пп.«д», п.3 пп.«г», п.4 пп.«в», РКН-253 вопр.20(2) |
| 5.6 | Неосуществление трансграничной передачи ПД в государства, не указанные в актуальной редакции РКН-128, на период рассмотрения уполномоченным органом уведомления о намерении осуществлять трансграничную передачу ПД | 152-ФЗ ст.12 ч.11 | ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2, УК ст.137 | ПП-1046 Прил. п.2 пп.«д», РКН-253 вопр.20(4) |
| 5.7 | Соблюдение действующих запретов и ограничений в отношении трансграничной передачи ПД, а также обеспечение уничтожения зарубежным получателем ранее переданных ему ПД | 152-ФЗ ст.12 ч.ч.8, 12, 14, ПП-6 | ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2, УК ст.137 | ПП-1046 Прил. п.2 пп.«д», п.3 пп.«г», п.4 пп.«в», РКН-253 вопр.20(5) |
| 5.8 | Опубликование указанных субъектом ПД условий и запретов в отношении возможности обработки неограниченным кругом лиц распространяемых ПД | 152-ФЗ ст.10.1 ч.10 | ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | РКН-253 вопр.16 |
| 5.9 | Наличие соответствующих лицензий на осуществление деятельности по технической защите конфиденциальной информации (ТЗКИ) и (или) и по выполнению работ и оказанию услуг в области шифрования информации при обработке ПД в ИСПД по поручению другого оператора | 99-ФЗ ст.12 ч.1 п.п.1, 5, ПП-1119 п.3 | КоАП ст.13.13 | ─ |
| 5.10 | Соблюдение запрета на раскрытие информации о факте обращения к оператору заявителя (физического лица) с требованием о прекращении выдачи ссылок в поисковой системе (т.н. «право на забвение») за исключением случаев, установленных законом | 149-ФЗ ст.2 п.20, ст.10.3 ч.8 | ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | ─ |
| 5.11 | Соблюдение запрета на использование иностранных мессенджеров (принадлежащих иностранным лицам информационных систем и (или) ПО для обмена электронными сообщениями) как для предоставления информации, содержащей ПД граждан РФ, так и для информирования граждан РФ | 149-ФЗ ст.10 ч.8, 41-ФЗ ст.15 ч.1, Перечень иностранных мессенджеров | КоАП ст.13.11.2 | ─ |
| 5.12 | Соблюдение порядка ограничения доступа к распространяемой с нарушением закона информации (в т.ч. содержащей ПД) путём удаления такой информации владельцем сайта или владельцем информационного ресурса в сети «Интернет» | 149-ФЗ ст.15.3 ч.4.1 | КоАП ст.13.41 ч.2 и ч.5 | ─ |
| 📢 Коммуникация и взаимодействие с субъектами ПД | ||||
| 6.1 | Опубликование (в т.ч. на информационных ресурсах в сети «Интернет» - при сборе ПД на таких ресурсах) или обеспечение неограниченного доступа к политике оператора в отношении обработки ПД, а также к сведениям о реализуемых требованиях к защите ПД (могут быть включены в политику) | 152-ФЗ ст.18.1 ч.2 | КоАП ст.13.11 ч.3, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2, УК ст.140 | МЦ-1187 п.3, РКН-253 вопр.32 |
| 6.2 | Безвозмездное предоставление в доступной форме по запросу субъекта ПД сведений о наличии ПД и предоставление возможности ознакомления с ПД (без раскрытия ПД других субъектов при отсутствии на это законных оснований), либо предоставление мотивированного отказа в сообщении информации и (или) ознакомлении с ПД | 152-ФЗ ст.14 ч.ч.2, 7, ст.20 ч.ч.1-3, 149-ФЗ ст.16 ч.1 п.3, ТК ст.89 абз.2-3 | КоАП ст.13.11 ч.4, ТК ст.192 ч.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2, УК ст.140 | КоАП ст.28.1 ч.3.5 п.1, МЦ-1187 п.1, РКН-253 вопр.22, 23, 34-36 |
| 6.3 | Предоставление субъекту ПД разъяснений о порядке принятия решения и его последствиях на основании исключительно автоматизированной обработки ПД | 152-ФЗ ст.16 ч.3 | ТК ст.192 ч.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2, УК ст.140 | МЦ-1187 п.1 |
| 6.4 | Предоставление субъекту ПД по его просьбе информации об обработке ПД при их сборе | 152-ФЗ ст.18 ч.1, ст.14 ч.7 | КоАП ст.13.11 ч.4, ТК ст.192 ч.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2, УК ст.140 | КоАП ст.28.1 ч.3.5 п.1, МЦ-1187 п.1, РКН-253 вопр.27 |
| 6.5 | Персонал может реализовать право на получение копии любой записи, содержащей ПД персонала, за исключением предусмотренных законом случаев | ТК ст.89 абз.3 | КоАП ст.5.27 ч.ч.1-2, ТК ст.90, ст.192 ч.1, ст.232 ч.1, ст.233 ч.1; 152-ФЗ ст.24 ч.2, УК ст.140 | ─ |
| 6.6 | Персонал может реализовать право на доступ к медицинской документации, отражающей состояние его здоровья, с помощью медицинского специалиста по его выбору | ТК ст.89 абз.5 | КоАП ст.5.27 ч.ч.1-2, ТК ст.ст.90, 232 ч.1, 233 ч.1; 152-ФЗ ст.24 ч.2 | ─ |
| 6.7 | Надлежащий прием и исполнение требования субъекта ПД об исключении ПД из общедоступных источников | 152-ФЗ ст.8 ч.2 | ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | РКН-253 вопр.8 |
| 6.8 | Надлежащий прием и исполнение требования субъекта ПД о прекращении в любое время передачи (распространения, предоставления, доступа) ПД, разрешенных субъектом ПД для распространения (в т.ч. распространенного в сети «Интернет» изображения гражданина), что также означает отзыв ранее предоставленного согласия субъекта на распространение ПД | 152-ФЗ ст.10.1 ч.12, ГК ст.152.1 ч.3 | 152-ФЗ ст.23 ч.3 п.3.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | ─ |
| 6.9 | Надлежащий прием и исполнение требования субъекта ПД о прекращении в течение 3-х рабочих дней передачи (распространения, предоставления, доступа) ранее распространенных ПД | 152-ФЗ ст.10.1 ч.14 | 152-ФЗ ст.23 ч.3 п.3.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | РКН-253 вопр.17 |
| 6.10 | Надлежащий прием и исполнение требования субъекта ПД о прекращении обработки ПД для продвижения товаров, работ, услуг на рынке и для политической агитации путем осуществления прямых контактов с помощью средств связи | 152-ФЗ ст.15 ч.2 | ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | РКН-253 вопр.25 |
| 6.11 | Надлежащий прием и исполнение требования (обращения) субъекта ПД об уточнении, блокировании или уничтожении неполных, устаревших, неточных, незаконно полученных, не нужных из-за достижения цели или иным образом неправомерно обрабатываемых ПД, а также надлежащее уведомление субъекта ПД о внесенных изменениях и предпринятых мерах в предусмотренных законом случаях | 152-ФЗ ст.14 ч.1, ст.20 ч.3, ст.21 ч.ч.1-3, 4, 6, ТК ст.89 абз.6 | КоАП ст.5.27 ч.ч.1-2, ст.13.11 ч.5-5.1, ТК ст.ст.90, 232 ч.1, 233 ч.1; 152-ФЗ ст.24 ч.2, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2, УК ст.137 | 152-ФЗ ст.23 ч.3 п.3; ПП-1046 п.61 абз.4, РКН-253 вопр.21, 37-40, 41, 43 |
| 6.12 | Надлежащий прием и исполнение отзыва СОПД или требования субъекта ПД о прекращении обработки ПД (или обеспечении такого прекращения обработчиками) и уничтожении ПД | 152-ФЗ ст.21 ч.ч.5-5.1, 6 | КоАП ст.13.11 ч.5-5.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | РКН-253 вопр.42, 42(1), 43 |
| 6.13 | Предоставление субъекту ПД (потребителю) по его требованию информации о причинах и основаниях невозможности заключения, исполнения, изменения или расторжения потребительского договора без предоставления ПД, и в той форме (включая устную), в которой предъявлено требование потребителя | ЗоЗПП ст.16 ч.4 абз.2-4 | КоАП ст.14.8 ч.4.1, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | ─ |
| 6.14 | Информирование пользователей о применении на информационном ресурсе рекомендательных технологий, размещение на информационном ресурсе правил применения рекомендательных технологий с указанием необходимых реквизитов, а также обеспечение к правилам беспрепятственного и безвозмездного доступа | 149-ФЗ ст.10.2-2 ч.1 п.п.2-4, ч.ч.2-3 | КоАП ст.13.54 ч.ч.2-4 [проект] | 149-ФЗ ст.10.2-2 ч.ч.5-8, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 |
| 6.15 | Прекращение выдачи сведений в поисковой системе об указателе страницы сайта в сети «Интернет», позволяющих получить доступ к информации о заявителе (физическом лице), распространяемой с нарушением законодательства РФ, являющейся недостоверной, а также неактуальной, утратившей значение для заявителя в силу последующих событий или действий заявителя (за некоторым исключением) в течении 10 рабочих дней с момента получения соответствующего требования заявителя (т.н. «право на забвение»). | 149-ФЗ ст.2 п.20, ст.10.3 ч.1 | ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | ─ |
| 🏛️ Коммуникация и взаимодействие с уполномоченными органами | ||||
| 7.1 | Своевременное сообщение необходимой информации по запросу уполномоченного органа в отношении соблюдения требований законодательства о ПД | 152-ФЗ ст.20 ч.4 | ТК ст.192 ч.1 | МЦ-1187 п.1 |
| 7.2 | Надлежащее взаимодействие с уполномоченном органом при осуществлении федерального государственного контроля (надзора) в отношении ПД | 152-ФЗ ст.23.1, ПП-1046 | КоАП ст.19.4 ч.1, ст.19.4.1, ст.19.5 ч.1, ст.19.5.2, ТК ст.192 ч.1 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3 |
| 7.3 | Надлежащее уведомление уполномоченного органа о обработке ПД (о намерении осуществлять обработку ПД) и поддержание этой информации в актуальном состоянии | 152-ФЗ ст.22 ч.1-3, ч.7, ПП-2526, РКН-180 | КоАП ст.13.11 ч.10, ст.19.7, ТК ст.192 ч.1 | МЦ-1187 п.3, РКН-253 вопр.44-46 |
| 7.4 | Надлежащее уведомление уполномоченного органа о намерении осуществлять трансграничную передачу ПД до начала осуществления такой передачи и поддержание этой информации в актуальном состоянии | 152-ФЗ ст.12 ч.ч.3-4, РКН-128 | КоАП ст.19.7, ТК ст.192 ч.1 | МЦ-1187 п.п.3, 5, РКН-253 вопр.20, 20(1) |
| 7.5 | Своевременное сообщение по запросу уполномоченного органа сведений об оценке допустимости трансграничной передачи ПД до её начала | 152-ФЗ ст.12 ч.6 | ТК ст.192 ч.1 | МЦ-1187 п.1, РКН-253 вопр.20(3) |
| 7.6 | Исключение ПД из общедоступных источников по решению суда или иных уполномоченных органов | 152-ФЗ ст.8 ч.2 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3 | РКН-253 вопр.8 |
| 7.7 | Прекращение любым лицом передачи (распространения, предоставления, доступа) ранее распространенных ПД по решению суда (в указанный судом срок или в течение 3-х рабочих дней) – при несоблюдении этим лицом положений ст.10.1 152-ФЗ | 152-ФЗ ст.10.1 ч.14 | 152-ФЗ ст.23 ч.3 п.п.3.1, 4 | РКН-253 вопр.17 |
| 7.8 | Удаление по решению суда изображения гражданина и (или) информации о частной жизни гражданина, полученных с нарушением закона и содержащихся в документах, видеозаписях или на иных материальных носителях, а также изъятие и уничтожения изготовленных в целях введения в гражданский оборот и находящихся в обороте экземпляров таких материальных носителей | ГК ст.ст.152.1 ч.2, 152.2 ч.4 | ГК ст.ст.151, 1064, 1068, 1081, 1101 | ─ |
| 7.9 | Надлежащий прием и исполнение требования/запроса уполномоченного органа об уточнении, блокировании или уничтожении неполных, устаревших, неточных, незаконно полученных, или не нужных из-за достижения цели или иным образом неправомерно обрабатываемых ПД, а также надлежащее уведомление уполномоченного органа о внесенных изменениях и предпринятых мерах в предусмотренных законом случаях | 152-ФЗ ст.20 ч.4, ст.21 ч.ч.1-3, ст.23 ч.2 п.1 | КоАП ст.13.11 ч.5-5.1, ст.19.5 ч.1 | 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3 |
| 7.10 | Соблюдение порядка предоставления доступа к информационным системам и (или) базам данных, содержащим ПД сотрудников силовых ведомств и подлежащих государственной защите/охране лиц | 152-ФЗ ст.6 ч.ч.1.1-1.2, П-245/56/399/85/441 | КоАП ст.19.5.3 | ─ |
| 📒 Осведомленность и обучение персонала, допущенного к обработке ПД | ||||
| 8.1 | Ознакомление персонала, осуществляющего обработку ПД, с положениями законодательства о ПД, требованиям к защите ПД, политикой и локальными актами оператора в отношении обработки ПД и (или) обучение указанного персонала | 152-ФЗ ст.18.1 ч.1 п.6, ст.22.1 ч.4 п.2 | ТК ст.192 ч.1 | РКН-253 вопр.31, 49 |
| 8.2 | Ознакомление под роспись персонала с локальным нормативным актом оператора, устанавливающим порядок обработки ПД персонала | ТК ст.86 п.8, ст.88 абз.5 | ТК ст.192 ч.1 | РКН-253 вопр.65, 67 |
| 8.3 | Информирование персонала и иных лиц о факте обработке ими ПД без использования средств автоматизации, категориях обрабатываемых ПД, а также об особенностях и правилах осуществления такой обработки | ПП-687 п.6 | ТК ст.192 ч.1 | РКН-253 вопр.59 |
| 🔒 Безопасность обработки ПД | ||||
| 9.1 | Оценка вреда, который может быть причинен субъектам ПД в случае нарушения законодательства о ПД, соотношение указанного вреда и принимаемых оператором мер | 152-ФЗ ст.18.1 ч.1 п.5, 149-ФЗ ст.16 ч.4 п.3, РКН-178 | ТК ст.192 ч.1 | РКН-253 вопр.31 |
| 9.2 | Принятие необходимых правовых, организационных и технических мер для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий в отношении ПД, в том числе совместная выработка с персоналом и его представителями мер защиты ПД персонала | 152-ФЗ ст.18.1 ч.1 п.3, ст.19 ч.1, 149-ФЗ ст.16 ч.1 п.1, ТК ст.86 п.п.7, 10 | КоАП ст.5.27 ч.ч.1-2, ст.13.11 ч.ч.1-2.1, 12-18, ст.13.12 ч.6, ТК ст.90, ст.192 ч.1, ст.232 ч.1, ст.233 ч.1; 152-ФЗ ст.24 ч.2, ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2, УК ст.ст.272, 272.1 ч.ч.1-5, 273, 274, 274.1 | 248-ФЗ ст.60 ч.2 п.5, РКН-253 вопр.31, 33 |
| 9.3 | Определение угроз безопасности ПД, которые могут возникнуть при их обработке в ИСПД, а также установление уровней защищенности ПД при их обработке в ИСПД | 152-ФЗ ст.19 ч.2 п.1, ПП-1119 п.8 | КоАП ст.13.12 ч.6 | ─ |
| 9.4 | Реализация в рамках СЗПД организационных и технических мер по обеспечению безопасности ПД при их обработке в ИСПД (в т.ч. по недопущению несанкционированного доступа/раскрытия ПД и (или) воздействия на технические средства автоматизированной обработки ПД) для выполнения требований к защите ПД в рамках обеспечения установленных уровней защищенности ПД | 152-ФЗ ст.19 ч.2 п.2, 149-ФЗ ст.16 ч.4 п.п.1, 6, ПП-1119 п.2, п.п.8-12, ФСТЭК-21 п.п.1-3 | КоАП ст.13.12 ч.6 | ─ |
| 9.5 | Применение прошедших в установленном порядке процедуру оценки соответствия СЗИ, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПД и информационных технологий, используемых в ИСПД | 152-ФЗ ст.19 ч.2 п.3, ПП-1119 п.4, п.13 пп.«г», ФСТЭК-21 п.4 | КоАП ст.13.6 ч.1, ст.13.12 ч.2 | ─ |
| 9.6 | Уничтожение ПД на машинных носителях в установленных нормативными правовыми актами случаях осуществляется с применением прошедших в установленном порядке процедуру оценки соответствия СЗИ, в составе которых реализована функция уничтожения информации | 152-ФЗ ст.19 ч.2 п.3.1, ФСТЭК-21 Прил. п.ЗНИ.8 | КоАП ст.13.12 ч.6 | ─ |
| 9.7 | Оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД | 152-ФЗ ст.19 ч.2 п.4 | КоАП ст.13.12 ч.6 | ─ |
| 9.8 | Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним или иного инцидента | 152-ФЗ ст.19 ч.2 п.7, 149-ФЗ ст.16 ч.4 п.5 | КоАП ст.13.12 ч.6 | ─ |
| 9.9 | Установление правил доступа к ПД, обрабатываемым в ИСПД, обеспечение регистрации и учета всех совершаемых с ПД действий в ИСПД | 152-ФЗ ст.19 ч.2 п.8, 149-ФЗ ст.16 ч.4 п.1 | КоАП ст.13.12 ч.6 | ─ |
| 9.10 | Обеспечение сохранности материальных (в том числе машинных) носителей ПД и исключение несанкционированного доступа к носителям ПД | 149-ФЗ ст.16 ч.4 п.1, ПП-1119 п.13 пп.«б», ПП-687 п.15 | КоАП ст.13.11 ч.6, ст.13.12 ч.6, ТК ст.192 ч.1 | РКН-253 вопр.64 |
| 9.11 | Организация режима безопасности помещений, в которых осуществляется обработка ПД и (или) размещены программно-аппаратные средства, используемые для обработки ПД, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения | 149-ФЗ ст.16 ч.4 п.4, ПП-1119 п.13 пп.«а» | КоАП ст.13.12 ч.6, ТК ст.192 ч.1 | ─ |
| 9.12 | Предоставление доступа к содержанию электронного журнала сообщений ИСПД исключительно для должностных лиц (персонала), которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей | ПП-1119 п.15 | КоАП ст.13.12 ч.6 | ─ |
| 9.13 | Автоматическая регистрация в электронном журнале безопасности изменений полномочий должностных лиц (персонала) по доступу к ПД, содержащимся в ИСПД | ПП-1119 п.16 пп.«а» | КоАП ст.13.12 ч.6 | ─ |
| 9.14 | Использование и хранение биометрических ПД вне ИСПД осуществляется на материальных носителях информации и с применением технологий ее хранения, которые обеспечивают защиту ПД | 152-ФЗ ст.19 ч.10, ПП-512 | КоАП ст.13.12 ч.6, ТК ст.192 ч.1 | ПП-1046 Прил. п.2 пп.«а» |
| 9.15 | При обработке биометрических ПД в единой биометрической системе, в том числе в ее региональных сегментах, их взаимодействии с иными информационными системами применяются надлежащие организационные и технические меры по обеспечению безопасности ПД, а также используются шифровальные (криптографические) средства, позволяющие обеспечить безопасность ПД от актуальных угроз | 152-ФЗ ст.19 ч.4, 572-ФЗ ст.3 ч.ч.5-6, ст.6 ч.ч.2-3, ст.9 ч.2, ст.10 ч.15, ст.14 ч.4, ст.16 ч.3, ст.19, МЦ-446, ЦБ-6541-У | КоАП ст.13.11.3 ч.3 | ─ |
| 🔦 Контроль отклонений и реагирование на инциденты | ||||
| 10.1 | Издание локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства о ПД, устранение последствий таких нарушений | 152-ФЗ ст.18.1 ч.1 п.2 | ─ | РКН-253 вопр.31 |
| 10.2 | Осуществление внутреннего контроля и (или) аудита соответствия обработки ПД законодательству о ПД, требованиям к защите ПД, политике и локальным актам оператора в отношении обработки ПД, в т.ч. выявление неправомерной обработки ПД | 152-ФЗ ст.18.1 ч.1 п.4, ст.21 ч.3, ст.22.1 ч.4 п.1 | ТК ст.192 ч.1 | РКН-253 вопр.31, 49 |
| 10.3 | Осуществление контроля за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности ПД при их обработке в ИСПД | 152-ФЗ ст.19 ч.2 п.9, ПП-1119 п.17, ФСТЭК-21 п.6 | ТК ст.192 ч.1 | ─ |
| 10.4 | Уведомление РКН об инциденте и уведомление РКН о результатах внутреннего расследования инцидента | 152-ФЗ ст.21 ч.3.1, РКН-187 | КоАП ст.13.11 ч.11, ст.19.7, ТК ст.192 ч.1 | РКН-253 вопр.40(1) |
| 10.5 | Обнаружение фактов несанкционированного доступа к ИСПД и принятие надлежащих мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПД, связанные с обработкой ПД | 152-ФЗ ст.19 ч.2 п.6, 149-ФЗ ст.16 ч.4 п.2 | ТК ст.192 ч.1 | МЦ-1187 п.2 |
| 10.6 | Взаимодействие с ГосСОПКА и уведомление ФСБ о компьютерных инцидентах | 152-ФЗ ст.19 ч.12, ФСБ-77 | ТК ст.192 ч.1 | ─ |
| 10.7 | Уведомление Банка России об инцидентах незаконного раскрытия банковской тайны, ПД и (или) иных данных клиентов | СТО БР БФБО п.6 | ТК ст.192 ч.1 | ─ |
—
## ⚡Приложение 1: Меры юридической ответственности для юридических лиц (ЮЛ) и должностных лиц (ДЛ)
| Нормативные ссылки | Краткое описание нарушения | Меры ответственности |
| — | — | — |
| Административная ответственность | Административная ответственность | Административная ответственность |
| КоАП ст.5.27 ч.ч.1-2 | Несоблюдение требований к обработке ПД работников, установленных трудовым законодательством | ЮЛ: штраф 30-50К ₽ (рецидив - 50-70К ₽); ДЛ: штраф 1-5К ₽ (рецидив - 10-20К ₽ или дисквалификация до 3 лет) |
| КоАП ст.13.6 ч.1 | Использование несертифицированных средств кодирования (шифрования) при передаче сообщений в сети «Интернет», если требуется обязательная сертификация | ЮЛ: штраф 60-300К ₽ с возможной конфискацией средств кодирования (шифрования); ДЛ: штраф 15-30К ₽ с возможной конфискацией средств кодирования (шифрования) |
| КоАП ст.13.11 ч.ч.1-1.1 | Обработка ПД без правового основания или несовместимая с целями сбора ПД | ЮЛ: штраф 100-300К ₽ (рецидив - 300-500К ₽); ДЛ: штраф 50-150К ₽ (рецидив - 150-200К ₽) |
| КоАП ст.13.11 ч.ч.2-2.1 | Обработка ПД без обязательного письменного СОПД | ЮЛ: штраф 300-700К ₽ (рецидив - 1-1,5М ₽); ДЛ: штраф 100-300К ₽ (рецидив - 300-500К ₽) |
| КоАП ст.13.11 ч.3 | Неопубликование (в т.ч. в сети «Интернет») политики обработки и защиты ПД | ЮЛ: штраф 30-60К ₽; ДЛ: штраф 6-12К ₽ |
| КоАП ст.13.11 ч.4 | Непредоставление субъекту информации об обработке его ПД | ЮЛ: штраф 40-80К ₽; ДЛ: штраф 8-12К ₽ |
| КоАП ст.13.11 ч.5-5.1 | Невыполнение требования субъекта или Роскомнадзора об уточнении, блокировании или уничтожении ПД | ЮЛ: штраф 50-90К ₽ (рецидив - 300-500К ₽); ДЛ: штраф 8-20К ₽ (рецидив - 30-50К ₽) |
| КоАП ст.13.11 ч.6 | Неправомерный/случайный доступ к ПД или уничтожение/изменение ПД на материальных носителях | ЮЛ: штраф 50-100К ₽; ДЛ: штраф 8-20К ₽ |
| КоАП ст.13.11 ч.8-9 | Сбор и дальнейшая обработка ПД граждан РФ без использования БД, находящихся в РФ | ЮЛ: штраф 1-6М ₽ (рецидив - 6-18М ₽); ДЛ: штраф 100-200К ₽ (рецидив - 500-800К ₽) |
| КоАП ст.13.11 ч.10 | Неуведомление и (или) несвоевременное уведомление Роскомнадзора об обработке ПД | ЮЛ: штраф 100-300К ₽; ДЛ: штраф 30-50К ₽ |
| КоАП ст.13.11 ч.11 | Неуведомление и (или) несвоевременное уведомление Роскомнадзора об утечке ПД (в т.ч. случайной) с нарушением прав субъектов ПД | ЮЛ: штраф 1-3М ₽; ДЛ: штраф 400-800К ₽ |
| КоАП ст.13.11 ч.12; | Действия (бездействия) оператора, повлекшие утечку ПД 1-10К субъектов и/или 10-100К идентификаторов | ЮЛ: штраф 3-5М ₽; ДЛ: штраф 200-400К ₽ |
| КоАП ст.13.11 ч.13 | Действия (бездействия) оператора, повлекшие утечку ПД 10-100К субъектов и/или 100-1000К идентификаторов | ЮЛ: штраф 5-10М ₽; ДЛ: штраф 300-500к ₽ |
| КоАП ст.13.11 ч.14 | Действия (бездействия) оператора, повлекшие утечку ПД >100К субъектов и/или >1000К идентификаторов | ЮЛ: штраф 10-15М ₽; ДЛ: штраф 400-600К ₽ |
| КоАП ст.13.11 ч.15 | Повторная утечка ПД, предусмотренная ч.ч.12-14 ст.13.11 КоАП | ЮЛ: штраф 1-3% годовой выручки (20-500М ₽); ДЛ: штраф 800К-1,2М ₽ |
| КоАП ст.13.11 ч.16 | Действия (бездействия) оператора, повлекшие утечку специальных категорий ПД | ЮЛ: штраф 10-15М ₽; ДЛ: штраф 1-1,3М ₽ |
| КоАП ст.13.11 ч.17 | Действия (бездействия) оператора, повлекшие утечку биометрических ПД | ЮЛ: штраф 15-20М ₽; ДЛ: штраф 1,3-1,5М ₽ |
| КоАП ст.13.11 ч.18 | Повторная утечка специальных категорий и/или биометрических ПД оператором, который ранее наказывался по ч.ч.16-17 ст.13.11 КоАП | ЮЛ: штраф 1-3% годовой выручки (25-500М ₽); ДЛ: штраф 1,5-2М ₽ |
| КоАП ст.13.11.2 | Незаконное использование принадлежащих иностранным лицам информационных систем и (или) ПО для обмена электронными сообщениями, содержащими ПД | ЮЛ: штраф 100-700К ₽; ДЛ: штраф 30-50К ₽ |
| КоАП ст.13.11.3 ч.1 | Размещение и обновление биометрических ПД в ГИС «ЕБС» с нарушением требований закона | ЮЛ: штраф 500К-1М ₽; ДЛ: штраф 100-300К ₽ |
| КоАП ст.13.11.3 ч.2 | Нарушение порядка обработки биометрических ПД и векторов ГИС «ЕБС» | ЮЛ: штраф 500К-1М ₽; ДЛ: штраф 100-300К ₽ |
| КоАП ст.13.11.3 ч.3 | Необеспечение безопасности биометрических ПД в ГИС «ЕБС» или в биометрических системах | ЮЛ: штраф 1-1,5М ₽; ДЛ: штраф 300-500К ₽ |
| КоАП ст.13.11.3 ч.4 | Обработка биометрических ПД и векторов ГИС «ЕБС» для аутентификации без аккредитации | ЮЛ: штраф 1-2М ₽; ДЛ: штраф 500К-1М ₽ |
| КоАП ст.13.12 ч.2 | Использование несертифицированных СЗИ, если они подлежат обязательной сертификации | ЮЛ: штраф 50-100К ₽ с возможной конфискацией СЗИ; ДЛ: штраф 10-50К ₽ |
| КоАП ст.13.12 ч.6 | Нарушение нормативных правовых требований о защите информации (за исключением информации, составляющей государственную тайну) | ЮЛ: штраф 50-100К ₽; ДЛ: штраф 10-15К ₽ |
| КоАП ст.13.13 | Занятие видами деятельности в области защиты информации без обязательного получения лицензии | ЮЛ: штраф 10-20К ₽ с возможной конфискацией СЗИ; ДЛ: штраф 2-3К ₽ с возможной конфискацией СЗИ |
| КоАП ст.13.14 | Разглашение сведений ограниченного доступа при исполнении служебных/профессиональных обязанностей | ЮЛ: штраф 100-200К ₽; ДЛ: штраф 40-50К ₽ или дисквалификация до 3 лет |
| КоАП ст.13.20 | Нарушение правил хранения, комплектования, учета или использования архивных документов | ЮЛ: штраф 5-10К ₽; ДЛ: штраф 3-5К ₽ |
| КоАП ст.13.29.2 | Передача информации, необходимой для регистрации и (или) авторизации пользователя сети «Интернет» для получения доступа к функциональным возможностям информационного ресурса, иному лицу без поручения или согласия пользователя на такую передачу | ЮЛ: штраф 100-200К ₽; ДЛ: штраф 50-100К ₽ |
| КоАП ст.13.53*; [проект] | Неисполнение обязанности по проведению авторизации пользователей сайта, информационной системы и (или) программного обеспечения | ЮЛ: штраф 500-700К ₽; ДЛ: штраф 30-50К ₽ |
| КоАП ст.13.54 ч.ч.1, 4; [проект] | Применение рекомендательных технологий, нарушающих права и законные интересы граждан и организаций, а также допущение применения рекомендательных технологий в целях противоправного предоставления информации | ЮЛ: штраф 500-700К ₽ (рецидив - 1-1,4М ₽); ДЛ: штраф 30-50К ₽ (рецидив - 60-100К ₽) |
| КоАП ст.13.54 ч.ч.2, 4; [проект] | Неинформирование пользователей о применении на информационном ресурсе рекомендательных технологий | ЮЛ: штраф 500-700К ₽ (рецидив - 1-1,4М ₽); ДЛ: штраф 30-50К ₽ (рецидив - 60-100К ₽) |
| КоАП ст.13.54 ч.ч.3-4; [проект] | Неразмещение на информационном ресурсе правил применения рекомендательных технологий с указанием необходимых реквизитов | ЮЛ: штраф 500-700К ₽ (рецидив - 1,4-2,8М ₽); ДЛ: штраф 30-50К ₽ (рецидив - 60-100К ₽) |
| КоАП ст.13.54 ч.ч.5-6; [проект] | Неисполнение владельцем информационного ресурса, на котором применяются рекомендательные технологии, требования РКН о прекращении предоставления информации с применением рекомендательных технологий | ЮЛ: штраф 1-1,4М ₽ (рецидив - 1-1,4М ₽); ДЛ: штраф 60-100К ₽ (рецидив - 120-200К ₽) |
| КоАП ст.13.41 ч.2 и ч.5 | Неудаление владельцем сайта или владельцем информационного ресурса в информационно-телекоммуникационной сети «Интернет» информации или интернет-страницы, в т.ч. содержащей ПД, доступ к которым подлежит ограничению в соответствии с законодательством РФ | ЮЛ: штраф 800К-4М ₽ (рецидив - 5-10% годовой выручки, но не менее 4М ₽); ДЛ: штраф 200-400К ₽ (рецидив - 500-800К ₽) |
| КоАП ст.14.3 ч.1 | Нарушение рекламодателем, рекламопроизводителем или рекламораспространителем законодательства о рекламе, за исключением случаев, предусмотренных ч.ч.2-17 ст.14.3 КоАП | ЮЛ: штраф 100-500К ₽; ДЛ: штраф 4-20К ₽ |
| КоАП ст.14.3 ч.4.1 | Нарушение установленных законодательством о рекламе требований к рекламе, распространяемой по сетям электросвязи | ЮЛ: штраф 300К-1М ₽; ДЛ: штраф 20-100К ₽ |
| КоАП ст.14.8 ч.4.1 | Непредоставление потребителю информации о конкретных причинах и правовых основаниях необходимости предоставления ПД для заключения, исполнения, изменения или расторжения договора с ним | ЮЛ: штраф 100-300К ₽; ДЛ: штраф 15-30К ₽ |
| КоАП ст.14.8 ч.7 | Необоснованный (избыточный) сбор ПД потребителя для заключения, исполнения, изменения или расторжения договора с ним | ЮЛ: штраф 30-50К ₽; ДЛ: штраф 5-10К ₽ |
| КоАП ст.14.8 ч.8 | Отказ потребителю в договоре из-за отказа потребителя от обработки биометрических ПД | ЮЛ: штраф 200-500К ₽; ДЛ: штраф 50-100К ₽ |
| КоАП ст.14.33 ч.1 | Недобросовестная конкуренция, если эти действия не содержат уголовно наказуемого деяния | ЮЛ: штраф 100-500К ₽; ДЛ: штраф 12-20К ₽ |
| КоАП ст.19.4 ч.1 | Непредоставление доступа уполномоченному органу к помещениям и информационным системам, в которых осуществляется обработка ПД, в ходе выездной проверки | ДЛ: штраф 2-4К ₽ |
| КоАП ст.19.4.1 | Воспрепятствование проведению уполномоченным органом проверки или уклонение от нее, в т.ч. повлекшие невозможность проведения или завершения проверки | ЮЛ: штраф 5-50К ₽ (рецидив - 50-100К ₽); ДЛ: штраф 2-10К ₽ (рецидив - 10-20К ₽ или дисквалификация до 1 года) |
| КоАП ст.19.5 ч.1 | Невыполнение в срок предписания уполномоченного органа об устранении нарушений | ЮЛ: штраф 10-20К ₽; ДЛ: штраф 1-2К ₽ или дисквалификация до 3 лет |
| КоАП ст.19.5.2 | Неисполнение иностранным лицом, осуществляющим деятельность в сети «Интернет» на территории РФ, запрета Роскомнадзора на сбор ПД граждан РФ | ЮЛ: штраф 1,5-6М ₽ (рецидив - 6-18М ₽); ДЛ: штраф 100-500К ₽ (рецидив - 500К-1М ₽) |
| КоАП ст.19.5.3 | Неисполнение (ненадлежащее исполнение) владельцем информационной системы и (или) базы данных законного предписания ФСБ России, СВР России, ФСО России или полиции о предоставлении доступа к системам и (или) базам с ПД либо внесения в системы и (или) базы ранее не учтенных ПД сотрудников силовых ведомств и подлежащих государственной защите/охране лиц | ЮЛ: штраф 300-500К ₽; ИП: штраф 70-100К ₽ |
| КоАП ст.19.7 | Неуведомление Роскомнадзора об обработке ПД и (или) о трансграничной передаче ПД | ЮЛ: штраф 3-5К ₽; ДЛ: штраф 300-500 ₽ |
| Дисциплинарная ответственность | Дисциплинарная ответственность | Дисциплинарная ответственность |
| ТК ст.192 ч.1; | Неисполнение (ненадлежащее исполнение) работником (в т.ч. должностным лицом) своих трудовых обязанностей по обработке и (или) защите ПД | Замечание; Выговор; Увольнение по соответствующим основаниям (ТК ст.81 ч.1 п.6 пп.«в») |
| Материальная ответственность | Материальная ответственность | Материальная ответственность |
| ТК ст.ст.90, 232 ч.1, 233 ч.1; 152-ФЗ ст.24 ч.2 | Материальный ущерб и (или) моральный вред, причиненный работнику ПД вследствие нарушения его прав, нарушения правил обработки ПД и требований к защите ПД, установленных 152-ФЗ | Возмещение ущерба производится в полном объеме (ТК ст.243 ч.1 п.7), а морального вреда – в той сумме, о которой работодатель договорился с работником или которую определил суд (ТК ст.235 ч.1, ст.237) |
| Гражданско-правовая ответственность | Гражданско-правовая ответственность | Гражданско-правовая ответственность |
| ГК ст.ст.151, 1064, 1068, 1081, 1101; 152-ФЗ ст.24 ч.2 | Моральный вред, имущественный вред и понесенные субъектом ПД убытки, причиненные субъекту ПД вследствие нарушения его прав, свобод и интересов, нарушения требований применимого законодательства об ПД и/или договорных условий в отношении обработки и защиты ПД; Имущественный вред и понесенные убытки, причинённые привлеченному к обработке ПД лицу или/и любому другому заинтересованному лицу вследствие нарушения требований применимого законодательства об ПД и/или договорных условий в отношении обработки и защиты ПД | Компенсация морального вреда производится в денежной форме с учетом степени вины правонарушителя и степени страданий субъекта, а также независимо от возмещения имущественного вреда и понесенных субъектом ПД убытков ; Возмещение убытков производится, если будут доказаны наступление вреда, противоправность поведения и вина правонарушителя, а также причинно-следственная связь между ними; возмещать убытки будет организация, а не ее виновные должностные лица, поскольку вред, причиненный работником, должен возмещать работодатель; Лицо, возместившее вред, причиненный другим лицом, имеет право обратного требования (регресса) к этому лицу в размере выплаченного возмещения, если иной размер не установлен законом |
| ГК ст.432 | Неуказание в договоре о поручении обработки ПД необходимых по закону условий | Признание договора о поручении обработки ПД незаключенным1 |
| Уголовная ответственность | Уголовная ответственность | Уголовная ответственность |
| УК ст.137 | Собирание или распространение сведений о частной жизни ФЛ (личная и семейная тайна) без его согласия | Штраф до 200К ₽ или в размере дохода до 18 месяцев; Лишение свободы до 2 лет или арест до 4 месяцев |
| УК ст.138 | Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений; | Штраф до 80К ₽ или в размере дохода до 6 месяцев; Обязательные работы до 360 часов; Исправительные работы до 1 года |
| УК ст.140 | Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации | Штраф до 200К ₽ или в размере дохода до 18 месяцев; Лишение права занимать должности или вести деятельность до 5 лет |
| УК ст.155 | Разглашение тайны усыновления (удочерения) из корыстных или иных низменных побуждений | Штраф до 80К ₽ или в размере дохода до 6 месяцев; Лишение права занимать должности или вести деятельность до 3 лет; Обязательные работы до 180 часов; Исправительные работы до 1 года; Арест до 4 месяцев |
| УК ст.183 | Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну | Штраф до 1,5М ₽ или доход осужденного за 3 года; Лишение права занимать должности или вести деятельность до 3 лет; Исправительные работы до 5 лет; Принудительные работы до 5 лет; Лишение свободы до 7 лет |
| УК ст.272 | Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации | Штраф до 500К ₽ или доход осужденного за 3 года; Лишение права занимать должности или вести деятельность до 3 лет; Ограничение свободы до 4 лет; Принудительные работы до 5 лет; Лишение свободы до 7 лет |
| УК ст.272.1 ч.ч.1-5 | Незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации с ПД, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем | Штраф до 1М ₽ или доход осужденного за 1 год + лишение права занимать должности или заниматься деятельностью до 3 лет; Принудительные работы до 5 лет + штраф до 1 млн ₽ или доход осужденного за 2 года + лишение права занимать определенные должности или заниматься определенной деятельностью до 3 лет; Лишение свободы до 10 лет + штраф до 3 млн ₽ или доход осужденного за 4 года + лишение права занимать определенные должности или заниматься определенной деятельностью до 5 лет |
| УК ст.272.1 ч.6 | Создание и(или) обеспечение функционирования информационных ресурсов (сайта в сети «Интернет» и (или) страницы сайта в сети «Интернет», информационной системы, программы для ЭВМ), заведомо предназначенных для незаконного хранения, передачи (распространения, предоставления, доступа) компьютерной информации с ПД | Штраф до 700К ₽ или доход осужденного за 2 года + лишение права занимать определенные должности или заниматься определенной деятельностью до 2 лет; Принудительные работы до 5 лет + штраф до 700 тыс. ₽ или доход осужденного за 2 года + лишение права занимать определенные должности или заниматься определенной деятельностью до 2 лет; Лишение свободы до 5 лет + штраф до 700 тыс. ₽ или дохода осужденного за 2 года + лишение права занимать определенные должности или заниматься определенной деятельностью до 2 лет |
| УК ст.273 | Создание, использование и распространение вредоносных компьютерных программ | Штраф до 200К ₽ или доход осужденного за 2 года + лишение права занимать определенные должности или заниматься определенной деятельностью до 3 лет; Ограничение свободы до 4 лет; Принудительные работы до 5 лет; Лишение свободы до 7 лет |
| УК ст.274 | Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации | Штраф до 500К ₽ или доход осужденного за 18 месяцев; Исправительные работы до 1 года; Ограничение свободы до 2 лет; Принудительные работы до 2 лет; Лишение свободы до 5 лет |
| УК ст.274.1 | Неправомерное воздействие на критическую информационную инфраструктуру РФ | Штраф до 1М ₽ или доход осужденного за 3 года; Лишение права занимать должности или заниматься деятельностью до 5 лет; Ограничение свободы до 2 лет; Принудительные работы до 5 лет; Лишение свободы до 10 лет |
| УК ст.274.5 | Организация или участие в деятельности по передаче информации, необходимой для регистрации и (или) авторизации пользователя сети «Интернет» для получения доступа к функциональным возможностям информационного ресурса | Штраф до 700К ₽ или доход осужденного за 2 года + лишение права занимать определенные должности или заниматься определенной деятельностью до 2 лет; Принудительные работы до 3 лет; Лишение свободы до 3 лет |
| Пресекательные меры | Пресекательные меры | Пресекательные меры |
| 152-ФЗ ст.23 ч.3 п.3.1 | Обработка информации, осуществляемая с нарушением законодательства РФ в области ПД | Ограничение доступа к информации (например, размещенной на сайте в сети «Интернет») |
| 152-ФЗ ст.23 ч.3 п.3, ПП-1046 п.61 абз.4 | Обработка недостоверных или полученных незаконным путем ПД | Требование уточнить, блокировать или уничтожить ПД |
| 152-ФЗ ст.23 ч.3 п.4; ПП-1046 п.61 абз.3 | Обработка ПД, осуществляемая с нарушением требований 152-ФЗ | Приостановление, прекращение обработки или (и) уничтожение ПД |
| 149-ФЗ ст.10.2-2 ч.ч.6-7 | Непринятие владельцем информационного ресурса, на котором применяются рекомендательные технологии, мер по устранению выявленного нарушения законодательства о применении рекомендательных технологий | Прекращение предоставления информации с применением рекомендательных технологий |
| 149-ФЗ ст.10.2-2 ч.ч.8 | Неисполнение владельцем информационного ресурса, на котором применяются рекомендательные технологии, требования РКН о прекращении предоставления информации с применением рекомендательных технологий | Ограничение доступа к информационному ресурсу, на котором применяются рекомендательные технологии |
| Предупреждающие и профилактические меры | Предупреждающие и профилактические меры | Предупреждающие и профилактические меры |
| КоАП ст.3.4 ч.2, ст.4.1.1 ч.1 | Впервые совершенное административное правонарушение в области ПД, если отсутствует вред (угроза вреда) или имущественный ущерб; | Административное предупреждение |
| КоАП ст.29.13 ч.1; ФЗ-2202-1 ст.24 | Установление причин административного правонарушения в области ПД и условий, способствовавших его совершению | Представление об устранении причин и условий, способствовавших совершению правонарушения |
| 152-ФЗ ст.23 ч.3 п.3, ПП-1046 п.61 абз.5; ФЗ-2202-1 ст.25.1 | Признаки нарушения требований законодательства о ПД | Предостережение о недопустимости нарушения требований законодательства о ПД и предложение принять меры по обеспечению соблюдения обязательных требований |
| 149-ФЗ ст.10.2-2 ч.5 | Признаки нарушения требований законодательства о применении рекомендательных технологий | Уведомление, содержащее требование принять меры по устранению выявленного нарушения законодательства о применении рекомендательных технологий |
—
## ⚠️Приложение 2: Риск-факторы повышения вероятности контрольных (надзорных) мероприятий за обработкой ПД
| Нормативные ссылки | Краткое описание риск-фактора |
| — | — |
| Право РКН возбуждать дела об административных правонарушениях без проведения контрольных (надзорных) мероприятий во взаимодействии с оператором (КоАП) | |
| КоАП ст.28.1 ч.3.5 п.1 | предусмотренные ч.ч.1-2.1 и 4 ст.13.11 КоАП – в случае поступления от физического или юридического лица, совершившего административное правонарушение, данных, подтверждающих наличие события административного правонарушения; предусмотренные ст.13.11.3 КоАП – в случае поступления от юридического лица, совершившего административное правонарушение, данных, подтверждающих наличие события административного правонарушения |
| КоАП ст.28.1 ч.3.5 п.2 | предусмотренные ч.6 ст.13.11 КоАП – поступившие из правоохранительных органов, а также из других государственных органов, органов местного самоуправления, от общественных объединений материалы, содержащие данные, указывающие на наличие события административного правонарушения |
| Право РКН о проведении контрольного (надзорного) мероприятия в отношении при установлении факта распространения (предоставления) в сети «Интернет» баз с ПД (248-ФЗ) | |
| 248-ФЗ ст.60 ч.2 п.5 | при установлении факта распространения (предоставления) в сети «Интернет» баз данных (их части) с ПД может быть принято решение РКН о проведении контрольного (надзорного) мероприятия |
| Критерии отнесения обработки ПД к группе тяжести потенциальных негативных последствий возможного несоблюдения оператором обязательных требований к обработке ПД (ПП-1046) | |
| ПП-1046 Прил. п.2 пп.«а» | обработка специальной категории ПД и (или) биометрических ПД |
| ПП-1046 Прил. п.2 пп.«б» | обработка ПД более чем 100,000 субъектов ПД в ИСПД |
| ПП-1046 Прил. п.2 пп.«в» | обработка ПД с согласия субъекта ПД, если законом не предусмотрена обязанность получения согласия |
| ПП-1046 Прил. п.2 пп.«г» | сбор ПД, в т.ч. в Интернете, с использованием иностранных систем/программ/сервисов |
| ПП-1046 Прил. п.2 пп.«д» | трансграничная передача ПД в государства, не указанные в РКН-128 |
| ПП-1046 Прил. п.2 пп.«е» | обезличивание ПД с последующей передачей третьим лицам |
| ПП-1046 Прил. п.3 пп.«а» | обработка ПД несовершеннолетних лиц в не предусмотренных законом случаях |
| ПП-1046 Прил. п.3 пп.«б» | обработка ПД более чем 10,000 субъектов ПД в ИСПД |
| ПП-1046 Прил. п.3 пп.«в» | сбор ПД, в т.ч. в Интернете, с использованием БД за пределами РФ |
| ПП-1046 Прил. п.3 пп.«г» | трансграничная передача ПД в случаях, определяемых Правительством РФ согласно ч.15 ст.12 152-ФЗ |
| ПП-1046 Прил. п.3 пп.«д» | обезличивание ПД без последующей передачи третьим лицам |
| ПП-1046 Прил. п.4 пп.«а» | обработка ПД близких родственников субъекта ПД |
| ПП-1046 Прил. п.4 пп.«б» | обработка ПД более чем 1,000 субъектов ПД в ИСПД |
| ПП-1046 Прил. п.4 пп.«в» | трансграничная передача ПД в государства, указанные в РКН-128 |
| ПП-1046 Прил. п.4 пп.«г» | распространение ПД с согласия, предусмотренного ст.10.1 152-ФЗ |
| ПП-1046 Прил. п.5 пп.«а» | обработка ПД менее чем 1,000 субъектов ПД в ИСПД |
| ПП-1046 Прил. п.5 пп.«б» | обработка ПД, полученных из общедоступных источников |
| Критерии отнесения обработки ПД к группе тяжести потенциальных негативных последствий возможного несоблюдения аккредитованной организацией обязательных требований к биометрической идентификации и (или) аутентификации (ПП-585) | |
| ПП-585 Прил. п.2 | биометрическая аутентификация персонала при проходе на территорию организации, являющейся субъектом критической информационной инфраструктуры |
| ПП-585 Прил. п.3 | биометрическая аутентификация физических лиц и (или) оказание услуги по биометрической аутентификации, за исключением деятельности согласно ПП-585 Прил. п.4 |
| ПП-585 Прил. п.4 | биометрическая аутентификация персонала при проходе на территорию организации, не являющейся субъектом критической информационной инфраструктуры |
| Перечень индикаторов риска нарушения к обработке ПД при осуществлении федерального государственного контроля (надзора) (МЦ-1187) | |
| МЦ-1187 п.1 | за календарный год РКН выявил 10 и более расхождений информации, которую по его запросу предоставил оператор, с данными от субъектов ПД о неправомерной обработки их ПД оператором |
| МЦ-1187 п.2 | за календарный год РКН установил 10 и более случаев, когда БД оператора с ПД стали общедоступными и (или) когда их разместили в сети «Интернет» |
| МЦ-1187 п.3 | РКН установил 3 и более факта несоответствия информации в уведомлениях о обработке ПД и о намерении осуществлять трансграничную передачу ПД сведениям в Политике обработки ПД на сайте оператора в сети «Интернет» |
| МЦ-1187 п.4 | за календарный год РКН установил 2 и более случая несоответствия правилам применения рекомендательных технологий (см. ст.10.2-2 149-ФЗ) на информационном ресурсе |
| МЦ-1187 п.5; [проект] | за календарный год РКН установил 2 и более случая трансграничной передачи ПД при помощи программных средств, владельцем которых является иностранное лицо, без уведомления РКН о такой передаче ПД |
| Проверочный лист РКН, применяемый при осуществлении федерального государственного контроля (надзора) за обработкой ПД | |
| РКН-253 | список контрольных вопросов РКН, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований в области ПД |
—
## 📚 Приложение 3: Сокращения и аббревиатуры
| Сокращение | Расшифровка |
| — | — |
| БР-6541-У | Перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами (утв. указанием Банка России от 25.09.2023 № 6541-У) |
| ГИС «ЕБС» | Государственная информационная система «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных» |
| ГК | Гражданский кодекс РФ |
| ЗоЗПП | Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей» |
| Инцидент | Любая неправомерная или случайная передача (предоставление, распространение, доступ) ПД, в т.ч. повлекшая нарушение прав субъектов ПД и (или) произошедшая в результате компьютерной атаки |
| ИСПД | Информационная система ПД |
| КоАП | Кодекс РФ об административных правонарушениях |
| МЦ | Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации |
| МЦ-446 | Перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением организаций финансового рынка, и единой биометрической системы, а также актуальных при взаимодействии информационных систем государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных (утв. приказом Минцифры России от 05.05.2023 № 446) |
| МЦ-453 | Порядок обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц (утв. приказом Минцифры России от 12.05.2023 № 453) |
| МЦ-1015 | Порядок уничтожения персональных данных, полученных в результате обезличивания, субъектом экспериментального правового режима в сфере цифровых инноваций в случае прекращения статуса субъекта экспериментального правового режима (утв. приказом Минцифры России от 29.09.2021 № 1015) |
| МЦ-1024 | Формы подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы, требованиям, определенным в соответствии с подпунктом «е» пункта 1 части 2 статьи 6 Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных» (утв. приказом Минцифры России от 29.11.2023 № 1024) |
| МЦ-1187 | Перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных (утв. приказом Минцифры России от 15.11.2021 № 1187) |
| ПД | Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД) |
| П-245/56/399/85/441 | Порядок предоставления доступа к информационным системам и (или) базам данных, содержащим сведения о лицах, указанных в ч.1.1 и ч.1.2 ст.6 152-ФЗ, обработки содержащихся в них ПД указанных лиц и формы предписания о предоставлении доступа (утв. приказом ФСБ России, СВР России, МО России, ФСО России, МВД России от 25.06.2025 № 245/56/399/85/441) |
| ПП-6 | Правила принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении (утв. постановлением Правительства РФ от 10.01.2023 № 6) |
| ПП-24 | Правила принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан (утв. постановлением Правительства РФ от 16.01.2023 № 24) |
| ПП-405 | Правила получения согласия, указанного в пункте 6 части 5 статьи 26 Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», и форма согласия физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы (утв. постановлением Правительства РФ от 17.03.2023 № 405) |
| ПП-408 | О видах биометрических персональных данных, на которые распространяется действие Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации (утв. постановлением Правительства РФ от 01.04.2024 № 408) |
| ПП-451 | Правила направления оператором регионального сегмента единой биометрической системы, аккредитованным государственным органом, Центральным банком Российской Федерации в случае прохождения им аккредитации, организацией, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, мотивированного запроса оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, и предоставления оператором единой биометрической системы такой информации (утв. постановлением Правительства РФ от 24.03.2023 № 451) |
| ПП-478 | Правила представления физическим лицом отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва такого отказа и письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом указанных отказа и отзыва отказа, а также форм указанных отказа, отзыва отказа и письменного подтверждения их представления (утв. постановлением Правительства РФ от 27.03.2023 № 478) |
| ПП-512 | Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных (утв. постановлением Правительства РФ от 06.07.2008 № 512) |
| ПП-538 | Перечень случаев формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных (утв. постановлением Правительства РФ от 24.04.2025 № 538). |
| ПП-585 | Положение о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации и признании утратившими силу некоторых актов Правительства Российской Федерации (утв. постановлением Правительства РФ от 11.04.2023 № 585) |
| ПП-687 | Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15.09.2008 № 687) |
| ПП-702 | Правила проверки соответствия пользователей государственной информационной системы, определенной в соответствии с частью 2 статьи 13.1 Федерального закона «О персональных данных», требованиям, указанным в части 7 статьи 13.1 Федерального закона «О персональных данных» (утв. постановлением Правительства РФ от 22.05.2025 № 702) |
| ПП-733 | Положение о федеральной государственной информационной системе «Единая информационная платформа национальной системы управления данными» (утв. постановлением Правительства РФ от 14.05.2021 № 733) |
| ПП-810 | Правила аккредитации организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, оснований ее приостановления и прекращения и признании утратившим силу постановления Правительства Российской Федерации от 20 октября 2021 г. № 1799 (утв. постановлением Правительства РФ от 22.05.2023 № 810) |
| ПП-815 | Перечень случаев, при которых аутентификация с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, не допускается, и перечня случаев, при которых допускается использование биометрических персональных данных, согласие физического лица на обработку которых подписано простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладает организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц (утв. постановлением Правительства РФ от 25.05.2023 № 815) |
| ПП-883 | Положение о единой биометрической системе, в том числе о ее региональных сегментах, и о признании утратившим силу постановления Правительства Российской Федерации от 16 июня 2022 г. № 1089 (утв. постановлением Правительства РФ от 31.05.2023 № 883) |
| ПП-961 | Правила формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных (утв. постановлением Правительства РФ от 26.06.2025 № 961); Правила предоставления доступа к составам персональных данных, полученных в результате обезличивания персональных данных, сгруппированным по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных (утв. постановлением Правительства РФ от 26.06.2025 № 961) |
| ПП-966 | Правила взаимодействия федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, с операторами и взаимодействия государственной информационной системы, определенной в соответствии с частью 2 статьи 13.1 Федерального закона «О персональных данных», и информационных систем операторов (утв. постановлением Правительства РФ от 26.06.2025 № 966) |
| ПП-1046 | Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных (утв. постановлением Правительства РФ от 29.06.2021 № 1046) |
| ПП-1119 | Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 01.11.2012 № 1119) |
| ПП-1154 | Требования к обезличиванию персональных данных, методы обезличивания персональных данных и правила обезличивания персональных данных (утв. постановлением Правительства РФ от 01.08.2025 № 1154) |
| ПП-2526 | Перечень случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей, не применяются требования частей 3 - 6, 8 - 11 статьи 12 Федерального закона «О персональных данных» (утв. постановлением Правительства РФ от 29.12.2022 № 2526) |
| РКН | Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации (уполномоченный орган по защите прав субъектов персональных данных) |
| РКН-18 | Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения (утв. приказом РКН от 24.02.2021 № 18) |
| РКН-106 | Правила использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядка взаимодействия субъекта персональных данных с оператором (утв. приказом РКН от 21.06.2021 № 106) |
| РКН-128 | Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (утв. приказом РКН от 05.08.2022 № 128) |
| РКН-140 | Требования к обезличиванию персональных данных и методов обезличивания персональных данных (утв. приказом РКН от 19.06.2025 № 140) |
| РКН-178 | Требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (утв. приказом РКН от 27.10.2022 № 178) |
| РКН-179 | Требования к подтверждению уничтожения персональных данных (утв. приказом РКН от 28.10.2022 № 179) |
| РКН-180 | Формы уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных (утв. приказом РКН от 28.10.2022 № 180) |
| РКН-187 | Порядок и условия взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных (утв. приказом РКН от 14.11.2022 № 187) |
| РКН-253 | Проверочный лист (список контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемый при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами (утв. приказом РКН от 24.12.2021 №253) |
| СЗИ | Средства защиты информации – технические, программные и программно-аппаратные средства, вещество и/или материал, предназначенные или используемые для защиты информации |
| СЗПД | Система защиты персональных данных – совокупность организационных и (или) технических мер, определенных с учетом актуальных угроз безопасности ПД и информационных технологий, используемых в ИСПД |
| СОПД | Согласие на обработку ПД |
| СТО БР БФБО | Стандарт Банка России СТО БР БФБО-1.5-2023 (принят и введен в действие приказом Банка России от 08.02.2023 № ОД-215) |
| ТК | Трудовой кодекс РФ |
| УК | Уголовный кодекс РФ |
| ФГИС «ЕСИА» | Федеральная государственная информационная система «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» |
| ФГИС «НСУД» | Федеральная государственная информационная система «Единая информационная платформа национальной системы управления данными» |
| ФЗ-2202-1 | Федеральный закон от 17.01.1992 № 2202-1 «О прокуратуре Российской Федерации» |
| ФСБ | Федеральная служба безопасности Российской Федерации (федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности) |
| ФСБ-77 | Порядок взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных (утв. приказом ФСБ от 13.02.2023 № 77) |
| ФСТЭК | Федеральная служба по техническому и экспортному контролю |
| ФСТЭК-21 | Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. приказом ФСТЭК от 18.02.2013 № 21) |
| ФСБУ 27/2021 | Федеральный стандарт бухгалтерского учета ФСБУ 27/2021 «Документы и документооборот в бухгалтерском учете» (утв. приказом Минфина России от 16.04.2021 № 62н) |
| DPO | Data Privacy Officer – лицо, ответственное за организацию обработки ПД |
| DSO | Data Security Officer – лицо, ответственное за обеспечение безопасности ПД при их обработке в ИСПД |
| 38-ФЗ | Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе» |
| 41-ФЗ | Федеральный закон от 01.04.2025 № 41-ФЗ «О создании государственной информационной системы противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий, и о внесении изменений в отдельные законодательные акты Российской Федерации» |
| 63-ФЗ | Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» |
| 99-ФЗ | Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» |
| 125-ФЗ | Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» |
| 126-ФЗ | Федеральный закон от 07.07.2003 № 126-ФЗ «О связи» |
| 135-ФЗ | Федеральный закон от 26.07.2006 № 135-ФЗ «О защите конкуренции» |
| 149-ФЗ | Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» |
| 152-ФЗ | Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» |
| 248-ФЗ | Федеральный закон от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в РФ» |
| 572-ФЗ | Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» |
принципы,
согласие,
договор,
передача,
поручение,
распространение,
здоровье,
биометрия,
трансграница,
локализация,
обезличивание,
сайты,
системы,
инциденты,
инфобез,
уведомление,
надзор,
ответственность,
работники,
потребители,
дети,
иностранцы,
реклама,
архив,
авторизация,
рекомендации,
мессенджеры,
приземление