Положение об организации обработки и обеспечении безопасности персональных данных

Q&A по проекту Положения об организации обработки и обеспечении безопасности персональных данных

—

1. О чем этот материал?

Данный материал является демонстратором потенциала трансформации [чек-листа основных контролей обработки и защиты персональных данных (ПД)](https://wiki.privacy-advocates.ru/chek-list_pd) в первооснову для подготовки соответствующего локального нормативного акта (ЛНА) на примере Положения об организации обработки и обеспечении безопасности ПД.

Материал состоит из следующих элементов:

- часто задаваемые вопросы и ответов на такие вопросы (стр. 1); - информационная брошюра к Положению (стр. 2–3); - текст проекта Положения (стр. 4–33).

—

2. Есть ли ограничения на использование и/или модификацию материала?

Материал может использоваться (полностью или в какой-либо части) и/или модифицироваться любыми заинтересованными в этом лицами без каких-либо ограничений, при условии, что пользователь материала действует добросовестно и надлежащим образом, не имея намерения нарушить права и интересы автора материала, субъектов ПД или иных лиц. Но ответственность за любые последствия использования и/или модификации материала несёт сам пользователь материала.

—

3. Стоит ли модифицировать материал перед его использованием?

Да, конечно! Данный материал <u>не является</u> универсальным и безусловно подходящим для всех операторов ПД, а также не претендует на статус «отлитого в граните» и «истины в последней инстанции». Материал не только можно, но и нужно модифицировать под отраслевую и иную специфику конкретной организации-оператора (да, и размер организации тоже имеет значение).

Если все же решили использовать материал в качестве проекта ЛНА, то настоятельно рекомендуется проверить полноту и применимость всех контролей обработки и защиты ПД, а также уделить особое внимание тем разделам Положения, которые выделены желтым цветом.

Состав и наименование функций для RACI-матрицы, распределение ролей между функциями, перечень документированной информации о выполнении контролей (правил) ПД и остальные элементы Положения — все это может быть модифицировано по вашему вкусу и предпочтению. Представьте, что это конструктор, который дает максимальные возможности для творчества и экспериментов🤩

—

4. Кто автор материала?

Алексей Мунтян | alexey.muntyan@privacy-advocates.ru

—

5. Где находится первоисточник материала?

[wiki.privacy-advocates.ru/polozhenie_pd](https://wiki.privacy-advocates.ru/polozhenie_pd)

—

# Информационная брошюра к Положению об организации обработки и обеспечении безопасности персональных данных

## О чём эта брошюра?

1. В современном мире обеспечение защиты персональных данных (далее — «ПД») занимает важное место в деятельности нашей Компании, стремящейся обеспечить благополучие и защиту прав своего персонала, клиентов, партнеров, поставщиков и всех остальных заинтересованных лиц, доверивших Компании обработку своих ПД.

2. Правила обращения с ПД определяются на законодательном уровне и являются обязательными для соблюдения всеми компаниями, обрабатывающими ПД. В нашей Компании действует «Положение об организации обработки и обеспечении безопасности ПД» (далее — «Положение»), которое является обязательным для исполнения всем персоналом Компании. Положение определяет руководящие принципы и правила организации и осуществления обработки и защиты ПД в Компании.

3. Положение является центральным, но не единственным элементом системы локальных актов и документации нашей Компании в отношении ПД. Кроме Положения в Компании приняты различные документы (например, стандартные операционные процедуры, инструкции, приказы и т.п.), прямо или косвенно регламентирующие обращение с ПД и дающие вам детальные инструкции по работе с ПД в конкретной ситуации.

4. Так как Положение является специализированным документом по работе с ПД, содержит в себе большое количество регуляторных требований и специализированной терминологии, мы подготовили эту брошюру для того, чтобы вам было легче познакомиться с Положением и сфокусироваться на наиболее важных для вас аспектах работы с ПД.

## Навигатор по разделам Положения

5. Положением предусмотрено 12 разделов, 10 из которых (2–11 разделы) описывают соответствующую область контроля в отношении обработки и защиты ПД в Компании, а оставшиеся 2 раздела (1 и 12 разделы) описывают порядок применения Положения и расшифровывают применяемую терминологию:

 1. 💡 *Общие положения об обработке и защите ПД*;
 2. 🚧 Руководство и учет в области ПД;
 3. ⚖ Целенаправленность и пропорциональность обработки ПД;
 4. 📝 Основания обработки ПД;
 5. 💽 Сбор, использование, хранение и уничтожение ПД;
 6. 📬 Передача ПД и соглашения с третьими лицами;
 7. 📢 Коммуникация и взаимодействие с субъектами ПД;
 8. 🏛️ Коммуникация и взаимодействие с уполномоченными органами;
 9. 📒 Осведомленность и обучение персонала, допущенного к обработке ПД;
 10. 🔒 Безопасность обработки ПД;
 11. 🔦 Контроль отклонений и реагирование на инциденты;
 12. 🗃️ *Термины, сокращения и аббревиатуры*.

6. Каждый из разделов 2–11 Положения определяет соответствующую область контроля в отношении обработки и защиты ПД, а также содержит следующие обязательные подразделы, описывающие:

 1. применимые к деятельности Компании правила обращения с ПД, которые предусмотрены действующими законами (*в отношении каждого правила указаны ссылки на конкретные законодательные нормы, обосновывающие включение правил в Положение*);
 2. распределение ролей между работниками/подразделениями Компании в отношении соблюдения правил (*более подробно об этом написано в п.1.3 этой брошюры*);
 3. ожидаемые результаты соблюдения правил в виде документов и документированной информации;
 4. перечень документов, дополнительно регламентирующих работу с ПД.

## Распределение ролей при работе с ПД

7. Чтобы избежать нерационального распределения обязанностей в Положении применяется механизм распределения ролей при работе с ПД — модель RACI, предусматривающая следующие возможные роли[^1]:

8. Модель RACI помогает успешно выполнить указанные в Положении правила, так как все, кто в ней указан, находятся в курсе дел. Это уменьшает количество недопониманий внутри персонала Компании и повышает его производительность. Если правила выполнили неправильно, то RACI подскажет, кто был вовлечен и несет ответственность.

9. Положение может возлагать задачи по организации работы с ПД не на конкретных работников Компании или ее подразделения (группы, отделы, департаменты), а на функции, выполнять которые могут один или несколько работников/подразделений — в зависимости от контекста и специфики конкретной ситуации.

10. Обратимся для примера к разделу 2 Положения:

  1. **п.2.1.3 Положения** указано, что в Компании должен быть установлен и утвержден перечень должностей, допущенных к обработке ПД;
  2. **п.2.2.3 Положения** предусматривает необходимое распределение ролей, участвующих в подготовке перечня должностей:
     1. перечень должностей совместно готовят **ИП** (DPO), **ПБ** (Правовой блок) и **СП** (структурные подразделения Компании, работающие с ПД);
     2. помогать им в этом будут **ИБ** (Информационная безопасность), **ИТ** (Информационные технологии), **БК** (Безопасность и комплаенс);
     3. утверждать приказ, конечно же, должно **ВР** (Высшее руководство);
     4. об утверждении приказа надо проинформировать **КБ** (Кадровый блок);
  3. **п.2.3.3 Положения** прямо предусмотрено, что документом, подтверждающим соблюдение правила из п.2.1.3 Положения, является **приказ о должностях, допущенных к обработке ПД**.

## Ваши основные обязанности при работе с ПД[^2]

11. Соблюдать правила обработки и защиты ПД, предусмотренные Положением и другими документами Компании.

12. Обрабатывать только необходимые вам для работы ПД, не использовать ПД в корыстных целях или для причинения вреда, а также своим поведением не создавать условия для неправомерной обработки ПД.

13. Не передавать (в любом виде и любыми способами) и не раскрывать ПД тем лицам, которые не имеют права доступа к ПД, обрабатываемым в Компании.

14. Соблюдать установленные Компанией меры информационной безопасности при работе с ПД, обеспечивать сохранность носителей с ПД (бумажных документов и электронных носителей).

15. Если вы:

1. …считаете, что при обработке ваших ПД в Компании нарушаются или могут быть нарушены ваши права;
2. …обнаружили факт или угрозу нарушения действующих правил по обработке и защите ПД в Компании;
3. …сомневаетесь в правильности и законности своих действий (или действий ваших коллег) при работе с ПД;

• *то незамедлительно сообщите об этом своему непосредственному руководителю, или любому руководителю Вашего отдела/департамента, или ответственному за организацию обработки ПД в Компании (DPO). — ООО «\_\_\_\_\_\_\_\_\_\_\_\_» > Введено в действие с \_\_\_\_\_\_\_\_\_\_\_\_\_\_ 20\_\_ г. > > Приложение № \_\_ к приказу № \_\_\_\_\_\_\_\_\_\_\_ > > от \_\_\_\_\_\_\_\_\_\_\_\_\_\_ 20\_\_ г. # ПОЛОЖЕНИЕ ## Об организации обработки и обеспечении безопасности персональных данных — # 1. Общие положения об обработке и защите ПД ## 1.1. О документе 16. Настоящее Положение «Об организации обработки и обеспечении безопасности персональных данных» (далее — «Положение») определяет порядок обработки и обеспечения безопасности персональных данных (далее — «ПД») в ООО «\_\_\_\_\_\_\_\_\_\_\_\_» (далее — «Оператор»), и является обязательным для исполнения персоналом Оператора, в том числе непосредственно осуществляющего обработку ПД Оператора. 17. Необходимость регламентирования внутреннего порядка организации обработки и обеспечения безопасности ПД обусловлена требованиями действующих нормативных правовых актов, устанавливающими для Оператора обязанности по соответствию объема и содержания обрабатываемых ПД заявленным целям сбора, уточнению, хранению и уничтожению ПД, соблюдению условий обработки ПД, в том числе получению согласия субъектов на обработку их ПД, установлению схем взаимодействия как внутри Оператора, так и с субъектами ПД, третьими лицами, уполномоченными органами. 18. Положение определяет руководящие принципы и правила организации и осуществления Оператором обработки и защиты ПД. Положение является одним из элементов системы локальных актов и документации Оператора в отношении ПД, и не содержит в себе исчерпывающее описание процедур и мероприятий по вопросам обработки и защиты ПД. 19. Источниками норм (правил) обработки и защиты ПД для Оператора и его персонала (далее — «Применимые требования») являются: 1. любые применимые нормы о ПД, включая нормы законодательства, международных, национальных, отраслевых, профессиональных и групповых стандартов, правил/кодексов надлежащей практики и этики; 2. документы, устанавливающие политику Оператора в отношении обработки и защиты ПД; 3. настоящее Положение и иные локальные акты Оператора, прямо или косвенно регламентирующие обработку и защиту ПД; 4. договоры и соглашения Оператора с третьими лицами в отношении обработки и защиты ПД; 5. правила фактически сложившегося правомерного порядка обработки и защиты ПД Оператором. 20. Каждый из разделов 2–11 Положения, определяющий соответствующую область контроля в отношении обработки и защиты ПД, содержит следующие обязательные подразделы, описывающие: 1. применимые к деятельности Оператора правила обработки и защиты ПД («правила»); 2. функциональную вовлечённость персонала Оператора в соблюдение правил («роли»); 3. ожидаемые результаты соблюдения правил в виде документированной информации («артефакты»); 4. неисчерпывающий перечень связанных документов, прямо или косвенно регламентирующих работу с ПД в рассматриваемой области («ссылки»). 21. Описание используемых в Положении терминов, сокращений и аббревиатур приведено в разделе 12 Положения. ## 1.2. Управление ролевым взаимодействием 22. Положением предусмотрена функциональная модель соблюдения правил обработки и защиты ПД, которая базируется на матрице распределения ролей (*модель RACI*) между вовлеченными лицами. 23. *Функциональная модель* означает, что Положение возлагает задачи (а также сопутствующие им права и обязанности) не на должностные лица и (или) структурные подразделения Оператора, а на функции, выполнять которые могут одно или несколько должностных лиц и (или) структурных подразделений — в зависимости от контекста и специфики конкретной ситуации. Положением предусмотрены следующие функции: | | *Функция* | *Описание* | |—|—|—| | 1. | ИП — Информационная приватность [*DP, Data Privacy*] | Должностное лицо или структурное подразделение Оператора, фактически исполняющее функции ответственного за организацию обработки ПД (DPO) | | 2. | ИБ — Информационная безопасность [*DS, Data Security*] | Должностное лицо или структурное подразделение Оператора, фактически исполняющее функции ответственного за обеспечение безопасности ПД при их обработке в ИСПД (DSO) | | 3. | ИТ — Информационные технологии [*IT, Information Technology*] | Должностное лицо или структурное подразделение, осуществляющее информационно-технологическое обеспечение деятельности Оператора | | 4. | КБ — Кадровый блок [*HR, Human Resources*] | Должностное лицо или структурное подразделение, осуществляющее кадровое обеспечение деятельности Оператора | | 5. | ПБ — Правовой блок [*LA, Legal Affairs*] | Должностное лицо или структурное подразделение, осуществляющее правовое обеспечение деятельности Оператора | | 6. | БК — Безопасность и комплаенс [*SC, Security & Compliance*] | Должностное лицо или структурное подразделение, обеспечивающее корпоративную безопасность (в т.ч. экономическую и физическую) и регуляторный комплаенс деятельности Оператора | | 7. | ВК — Внешние коммуникации [*EC, External Communications*] | Должностное лицо или структурное подразделение, обеспечивающее внешние коммуникации Оператора | | 8. | СП — Структурные подразделения [*BU, Business Units*] | Владельцы и ключевые исполнители процессов (*включая ИП, ИБ, ИТ, КБ, ПБ, БК, ВК*), в рамках которых обрабатываются ПД | | 9. | ЛР — Линейное руководство [*LM, Line Managers*] | Непосредственные руководители и старший персонал в каждом структурном подразделении Оператора | | 10. | ВР — Высшее руководство [*ET, Executive Team*] | Руководство высшего звена, уполномоченные утверждать документы, принимать управленческие решения в отношении Оператора | 24. *Модель RACI* означает, что каждая из функций, релевантная для того или иного процесса обработки и защиты ПД, реализует одну или сразу несколько нижеописанных ролей: | | *Роль* | *Описание* | |—|—|—| | 1. | И — Исполнитель (Responsible) | исполняет и (или) организует исполнение | | 2. | О — Ответственный (Accountable) | несёт ответственность, принимает результаты, держатель бюджета | | 3. | К — Консультирующий (Consulte) | предоставляет информацию/экспертизу до и (или) в процессе исполнения | | 4. | У — Уведомляемый (Informed) | заинтересован в результате, оповещается после и (или) в процессе исполнения | ## 1.3. Управление документированной информацией 25. В процессе организации обработки и обеспечении безопасности ПД образуется определенное количество документированной информации, управление которой подчиняется следующим принципам: 1. приоритетной формой разработки, актуализации, адаптации, использования, хранения и уничтожения документированной информации является электронная (цифровая) форма, с минимизацией применения материальных (бумажных) носителей информации; 2. документированная информация (полностью или в какой-либо части) оформляется и предоставляется в юридически значимой форме (на бумажном носителе или (и) в виде электронного документа) при возникновении такой необходимости; 3. владельцем документированной информации, указанной в разделах 2–11 Положения, является ИП (DPO), если иное прямо не указанно; 4. ИП предоставляет беспрепятственный доступ к документированной информации для ИБ, ПБ и БК; 5. типовые проекты специализированных документов о ПД (согласия, соглашения, акты, бланки и иные формы) подтверждаются ИП, ИБ, ПБ и иными СП согласно применимым областям ответственности, и не требуют отдельного утверждения руководством Оператора. ## 1.4. Порядок утверждения документа и внесения изменений 26. Положение вступает в силу после его утверждения руководителем Оператора. Все изменения в Положение вносятся на основании решения руководителя Оператора в установленном порядке. 27. Положение пересматривается по мере необходимости, но не реже одного раза в 3 (три) года с момента проведения предыдущего пересмотра Положения. 28. Положение может пересматриваться ранее вышеуказанного срока по результатам анализа: 1. изменений в нормативном правовом регулировании обработки и защиты ПД в РФ; 2. изменений в иных локальных актах Оператора, прямо или косвенно регламентирующих обработку и защиту ПД; 3. изменений в фактическом порядке организации Оператором обработки и защиты ПД; 4. изменений в деятельности и организационной структуре Оператора; 5. изменений во взаимоотношениях Оператора с субъектами ПД, контрагентами и иными лицами; 6. причин и содержания отклонений в соблюдении локальных актов Оператора; 7. причин и содержания выявленных (компьютерных) инцидентов; 8. иных факторов, которые могут оказать существенное негативное влияние на обработку и защиту ПД Оператором. ## 1.5. Ответственность 29. Запрещается не соблюдать или ненадлежащим образом соблюдать нормы (правила) обработки и защиты ПД, установленные законодательством РФ, локальными актами Оператора и договорами, регламентирующими правоотношения Оператора с третьими лицами, в том числе: 1. предоставлять ПД посторонним лицам, в том числе работникам Оператора, не имеющим права их обрабатывать; 2. своими действиями или бездействием создавать условия для неправомерной обработки ПД или иных нарушений применимых норм обработки и защиты ПД. 30. Лица, виновные в нарушении норм, регулирующих обработку и защиту ПД, могут нести материальную, дисциплинарную, гражданскую, административную и уголовную ответственность, предусмотренную законодательством РФ, локальными актами Оператора и договорами, регламентирующими правоотношения Оператора с третьими лицами. — # 2. Руководство и учет в области ПД ## 2.1. Соблюдаемые правила | | *Правила* | *Нормативные ссылки* | |—|—|—| | 31. | DPO назначен, подотчетен и получает указания непосредственно от исполнительного органа Оператора | - 152-ФЗ ст.18.1 ч.1 п.1, ст.22.1 ч.ч.1–2 | | 1. | DSO назначен, либо создано структурное подразделение, ответственное за обеспечение безопасности ПД в ИСПД, либо на одно из существующих структурных подразделений возложены функции по обеспечению такой безопасности | - ПП-1119 п.14, п.16 пп.«б» | | 1. | Установлен и утвержден руководителем Оператора перечень лиц (должностей), привлеченных (допущенных), в том числе в ИСПД, к автоматизированной и (или) неавтоматизированной обработке ПД в минимально необходимом для выполнения конкретных функций объеме | - ТК ст.88 абз.6; ПП-1119 п.13 пп.«в»; ПП-687 п.13 | | 1. | Определен перечень лиц, ответственных за реализацию мер по обеспечению сохранности и исключающих несанкционированный доступ к ПД при хранении их материальных носителей | - ПП-687 п.15 | | 1. | В распоряжении DPO есть все необходимые сведения об обработке и защите ПД в Операторе | - 152-ФЗ ст.22 ч.ч.3–3.1, ст.22.1 ч.3 | | 1. | Определен состав ИСПД, включая состав и объем обрабатываемых ПД, используемые технологии и объекты инфраструктуры, наличие доступа из внешних сетей | - ПП-1119 п.3 | | 1. | Определены места хранения материальных (в том числе машинных) носителей ПД и ведется учет носителей ПД | - 152-ФЗ ст.19 ч.2 п.5; ПП-687 п.13 | | 1. | Издание документов, определяющих политику Оператора в отношении обработки ПД (в т.ч. на информационных ресурсах), и локальных актов по вопросам обработки ПД персонала и иных субъектов ПД, в т.ч. определяющих для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов ПД, способы и сроки обработки (в т.ч. хранения) ПД | - 152-ФЗ ст.18.1 ч.1 п.2; ТК ст.87 | | 1. | Документы и локальные акты о ПД не содержат положения, ограничивающие права субъектов ПД, а также возлагающие на Оператора не предусмотренные законодательством РФ полномочия и обязанности | - 152-ФЗ ст.18.1 ч.1 п.2 | ## 2.2. Ролевая вовлечённость[^3] | | *Правила* | *ИП* | *ИБ* | *ИТ* | *КБ* | *ПБ* | *БК* | *ВК* | *СП* | *ЛР* | *ВР* | *Комментарии* | |—|—|—|—|—|—|—|—|—|—|—|—|—| | 1. | 2.1.1 | И | К | К | У | И | К | — | У | — | О₂ | [1] Должны регулярно проводиться комплексные мероприятия по составлению карт данных (data mapping), обеспечивающие четкое понимание ключевых характеристик процессов обработки ПД. СП определяют лиц, являющихся контактными для ИП. [2] Издание соответствующих приказов, а также утверждение Политики и Положения. | | 2. | 2.1.2 | К | И | К | У | И | К | — | У | — | О₂ | | | 3. | 2.1.3–2.1.4 | И | К | — | У | И | К | — | И | — | О₂ | | | 4. | 2.1.5–2.1.7 | ИО₁ | К | К | К | И | — | — | К₁ | — | — | | | 5. | 2.1.8–2.1.9 | ИО | И | К | К | И | И | К | К | У | О₂ | | ## 2.3. Документированная информация[^4] | | *Правила* | *Документация, подтверждающая соблюдение правил* | |—|—|—| | 6. | 2.1.1 | - Приказ о назначении DPO — см. п.2.4 Положения | | 1. | 2.1.2 | - Приказ о назначении DSO — см. п.2.5 Положения | | 1. | 2.1.3–2.1.4 | - Приказ о должностях, допущенных к автоматизированной и (или) неавтоматизированной обработке ПД, а также об ответственных лицах за защиту материальных носителей ПД | | 1. | 2.1.5–2.1.7 | - Реестр деятельности в отношении ПД с записями ключевых характеристик процессов обработки ПД и ИСПД, а также с ссылками на дополнительную описательную документацию | | 1. | 2.1.8–2.1.9 | - Политика и приложение к ней — с общим описанием целей обработки ПД, состава обрабатываемых ПД, категорий субъектов ПД, правовых оснований обработки ПД, сроках обработки (в т.ч. хранения) ПД, способов обработки ПД и действий с ПД; - настоящее Положение и приложение к нему — с детальным описанием состава обрабатываемых ПД по каждой из целей обработки ПД; - Справочно-информационное описание состава ПД, обрабатываемых Оператором (каталог ПД); - Типовые проекты специализированных документов о ПД (согласия, соглашения, акты, бланки и иные формы); - Условия о ПД для включения в функциональные и должностные локальные акты (положения, процедуры, инструкции и т.п.) и типовые проекты документов Оператора; - Иная документация, необходимая для надлежащей обработки и защиты ПД Оператором | ## 2.4. Правовое положение DPO 1. Оператор обеспечивает возможность DPO принимать надлежащее и оперативное участие во всех вопросах, связанных с соблюдением Применимых требований к обработке ПД. 2. Оператор оказывает необходимую поддержку DPO в надлежащем и эффективном выполнении его функций посредством своевременного предоставления DPO необходимых ресурсов и полномочий. 3. DPO получает указания непосредственно от руководителя Оператора и подотчетно ему. 4. Руководителем Оператора по предложению DPO может формироваться рабочая группа во главе с DPO из представителей персонала и (или) контрагентов Оператора для эффективного осуществления функций DPO. 5. DPO осуществляет или обеспечивает осуществление следующих функций: 1. выполнение обязанностей, возлагаемых ч.4 ст.22.1 152-ФЗ на лицо, ответственное за организацию обработки ПД в отношении Оператора; 2. планирование и управление эффективностью процессов комплаенса (нормативного соответствия) деятельности Оператора в отношении ПД; 3. ведение учета критически важных (исходя из риск-ориентированного подхода) процессов обработки ПД и информационных систем с ПД Оператора, а также поддержание в актуальном состоянии описательной документации; 4. предоставление практических рекомендаций по устранению возможных несоответствий требованиям законодательства о ПД в выявленных критически важных (исходя из риск-ориентированного подхода) процессах обработки ПД и информационных систем с ПД; 5. предоставление юридической экспертизы, определение и оценка рисков проектов и инициатив Оператора на соответствие законодательству о ПД и практикам в области ПД; 6. оценка вреда, который может быть причинен субъектам ПД в случае нарушения требований законодательства о ПД, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о ПД; 7. осуществление экспертизы проектов и действующих договоров и соглашений между Оператором и его контрагентами на предмет соответствия требованиям законодательства о ПД, а также оценка возможности и допустимости привлечения контрагентов Оператора к обработке ПД; 8. осуществление экспертизы действующих и планируемых к принятию локальных актов Оператора на предмет их соответствия требованиям законодательства о ПД; 9. инициирование, разработка и сопровождение процесса рассмотрения проектов локальных актов Оператора, регламентирующих обработку ПД, а также различных типовых форм документации в области обработки ПД; 10. организация повышения осведомленности и обучения (в форме семинаров и вебинаров) персонала Оператора в отношении порядка обработки ПД, установленного законодательством РФ и локальными актами Оператора; 11. осуществление внутреннего контроля за приемом и обработкой обращений и запросов субъектов ПД (в том числе персонала Оператора) или их представителей к Оператору, а также участие в подготовке проектов ответов Оператора на указанные обращения; 12. осуществление внутреннего контроля над соблюдением Оператором и его персоналом требований к обработке ПД, предусмотренных законодательством РФ о ПД и локальным актами Оператора; 13. участие в мероприятиях, направленных на предотвращение инцидентов с ПД, а также участие в обнаружении и надлежащем реагировании на инциденты с ПД (включая их внутреннее расследование); 14. участие в своевременном формировании и направлении (при необходимости) уведомления об обработке ПД, уведомления о намерении осуществлять трансграничную передачу ПД и (или) об инциденте с ПД для предоставления в уполномоченный орган; 15. участие в подготовке ответов на запросы уполномоченных органов по соблюдению требований применимого законодательства в области ПД и предложение стратегии обоснования используемых Оператором подходов и практик по обработке ПД; 16. содействие Оператору в эффективном прохождении плановых и внеплановых государственных контрольных (надзорных) и профилактических мероприятий в отношении деятельности Оператора по обработке ПД, в том числе повышение осведомленности персонала Оператора в отношении указанных мероприятий; 17. консультационная поддержка Оператора при обжаловании действий и/или решений должностных лиц уполномоченных органов, в том числе в судебных инстанциях, в отношении деятельности Оператора по обработке ПД; 18. осуществление регулярного мониторинга риск-факторов (событий и процессов) действующего и планируемого к принятию законодательства о ПД, правоприменительной и судебной практики в области ПД, оперативное уведомление Оператора о применимых к его деятельности риск-факторах; 19. оценка влияния изменений законодательства о ПД и иных риск-факторов на существующие и перспективные процессы обработки ПД и информационные системы с ПД, а также предложение Оператору практических вариантов обработки указанных риск-факторов. 6. DPO обладает следующими полномочиями: 1. требовать от персонала Оператора выполнения Применимых требований; 2. запрашивать и получать от персонала Оператора информацию для осуществления своих функций; 3. вносить предложения руководителю и иным уполномоченным лицам Оператора: 1. о внесении изменений в технологические процессы, связанные с обработкой ПД в ИСПД, если это обусловлено необходимостью обеспечения соответствия Применимым требованиям; 2. о поощрении или наложении взысканий на персонал Оператора в связи с исполнением им обязанностей, связанных с обработкой и защитой ПД; 4. давать персоналу Оператора и иным лицам, входящим в рабочую группу DPO, поручения и указания, направленные на осуществление функций, возложенных Положением и иным локальными актами на DPO. ## 2.5. Правовое положение DSO 7. Оператор обеспечивает возможность DSO принимать надлежащее и оперативное участие во всех вопросах, связанных с защитой ПД в ИСПД. 8. Оператор оказывает необходимую поддержку DSO в надлежащем и эффективном выполнении его функций посредством своевременного предоставления DSO необходимых ресурсов и полномочий. 9. DSO осуществляет или обеспечивает осуществление следующих функций: 1. обеспечение безопасности обработки ПД и защите ИСПД, включая моделирование угроз и выбор мер защиты ПД; 2. разработка и актуализация документов СЗПД Оператора с учетом характеристик процессов обработки ПД в ИСПД и Применимых требований; 3. проверка правильности реализации технических средств и методов защиты ПД путем экспертной оценки корректности настроек технических средств и методов защиты, а также принципов построения и реального состояния СЗПД; 4. экспертиза предложений по изменению ИСПД и доработка технической документации на СЗПД; 5. регулярный контроль выполнения требований к защите ПД при их обработке в ИСПД, предусмотренных Применимыми требованиями, регламентирующими технические и организационные меры защиты ПД; 6. реализация мероприятий, направленных на предотвращение компьютерных инцидентов в ИСПД, а также организация обнаружения и надлежащего реагирования на компьютерные инциденты (включая их внутреннее расследование); 7. участие в процедурах отбора и в ином взаимодействии с потенциальными и действующими контрагентами Оператора, реализующими продукцию (товары, работы, услуги) в сфере технической и криптографической защиты информации (ПД). 10. DSO обладает следующими полномочиями: 1. требовать от персонала Оператора выполнения Применимых требований в области защиты ПД; 2. запрашивать и получать от персонала Оператора информацию для осуществления своих функций; 3. вносить предложения руководителю и иным уполномоченным лицам Оператора: 1. о внесении изменений в технологические процессы, связанные с обработкой ПД в ИСПД, если это обусловлено необходимостью обеспечения безопасности ПД в соответствии с Применимыми требованиями; 2. о необходимости проведения организационных и технических мероприятий с целью обеспечения безопасности ПД в соответствии с Применимыми требованиями; 3. о поощрении или привлечении к ответственности персонал Оператора в связи с исполнением им обязанностей, связанных с защитой ПД; 4. о привлечении организации, обладающей лицензией на осуществление деятельности по технической защите конфиденциальной информации, для разработки модели угроз безопасности ПД, а также для проведения организационных и технических мероприятий по обеспечению безопасности ПД. ## 2.6. Обязанности персонала, допущенного к обработке ПД 11. Персонал, допущенный Оператором к обработке ПД, обязан выполнять Применимые требования (см. п.1.1.4 Положения), включая перечисленные в пунктах 2.7.2–2.7.7 Положения. 12. Обрабатывать ПД, которые были доверены или стали известны в связи с исполнением трудовой функции и должностных обязанностей, исключительно в целях и в порядке, которые предусмотрены: 1. любыми применимыми нормами о ПД, включая нормы законодательства, международных, национальных, отраслевых, профессиональных и групповых стандартов, правил/кодексов надлежащей практики и этики; 2. документами, устанавливающими политику Оператора в отношении обработки и защиты ПД; 3. настоящим Положением и иными локальными актами Оператора, прямо или косвенно регламентирующими обработку и защиту ПД; 4. договорами и соглашениями Оператора с третьими лицами в отношении обработки и защиты ПД; 5. правилами фактически сложившегося порядка организации Оператором обработки и защиты ПД. 13. Обрабатывать только те ПД, которые необходимы для выполнения трудовой функции и должностных обязанностей, не использовать ПД с целью противоправного извлечения выгоды (получения преимуществ) и (или) нанесения вреда субъектам ПД и (или) иным лицам, а также своими действиями или бездействием не создавать условия для неправомерной обработки ПД или иных нарушений применимых норм обработки и защиты ПД. 14. Обеспечивать конфиденциальность и безопасность ПД при их обработке, не передавать (в любом виде и любыми способами) и не раскрывать ПД иным работникам Оператора или третьим лицам, не имеющим право на получение таких ПД в силу выполняемых ими трудовых обязанностей или на ином правомерном основании. В случае противоправной попытки иных работников Оператора или третьих лиц получить ПД немедленно сообщать об этом факте своему непосредственному или (в случае отсутствия непосредственного) вышестоящему руководителю или DPO. 15. Предотвращать инциденты и иную неправомерную обработку ПД, обеспечивать сохранность материальных носителей ПД, немедленно докладывать непосредственному или (в случае отсутствия непосредственного) вышестоящему руководителю или DPO: 1. о фактах инцидентов или об обоснованных подозрениях на инциденты; 2. об утрате (в т.ч. предполагаемой) материальных носителей ПД, ключей от помещений и мест хранения ПД (тумб, шкафов, сейфов); 3. о компрометации (в т.ч. предполагаемой) как документации и (или) информации, содержащей ПД, так и служебных идентификационных, аутентификационных и авторизационных данных. 16. Осуществлять систематический мониторинг документов, информационных систем, компьютерных файлов, материальных носителей ПД, используемых в связи с исполнением трудовой функции и должностных обязанностей, и уведомлять своего непосредственного или (в случае отсутствия непосредственного) вышестоящего руководителя или DPO, об истечении сроков обработки (в т.ч. хранения) ПД, предусмотренных в настоящем Положении, иных локальных актах Оператора, заключенных договорах или о наступлении иных законных оснований для прекращения обработки таких ПД. 17. После прекращения права на допуск к ПД (например, ввиду изменения трудовой функции на не предусматривающую доступ к ПД или прекращения трудового договора), прекратить обработку ПД, не передавать (в любом виде и любыми способами) ПД третьим лицам и не уполномоченному на это персоналу Оператора, своевременно передать непосредственному руководителю или (в случае отсутствия непосредственного) вышестоящему руководителю или иному уполномоченному Оператором лицу, все служебные материальные носители и технические средства, предназначенные для работы с ПД. ## 2.7. Связанные документы 18. Иные документы, прямо или косвенно регламентирующие работу с ПД в рассматриваемой области: 1. документы, определяющие деятельность должностных лиц, входящих в управленческое звено (должностные инструкции руководителей структурных подразделений, документ, закрепляющий функции Генерального директора и т.п.). — # 3. Целенаправленность и пропорциональность обработки ПД ## 3.1. Соблюдаемые правила | | *Правила* | *Нормативные ссылки* | |—|—|—| | 19. | Законная и справедливая обработка ПД ведется согласно разумным ожиданиям субъектов ПД и не оказывает на них неоправданное негативное воздействие | - 152-ФЗ ст.5 ч.1 | | 1. | Обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей, а также исключается обработка ПД, несовместимая с изначально определёнными целями | - 152-ФЗ ст.5 ч.2; ТК ст.86 п.1 | | 1. | Обработка ПД не ведется в одних и тех же БД, и ПД не фиксируются на одних и тех же материальных носителях в несовместимых между собой целях | - 152-ФЗ ст.5 ч.3; ПП-687 п.5 | | 1. | Содержание (состав), объем и способы обработки ПД соответствуют целям обработки и не являются избыточными | - 152-ФЗ ст.5 ч.ч.4–5; ТК ст.86 п.2 | | 1. | Обрабатываемые ПД соответствуют заданным критериям качества (точность, достаточность/полнота, актуальность) | - 152-ФЗ ст.5 ч.6 | | 1. | Сведения о судимости не обрабатываются, за исключением прямо предусмотренных законом случаев | - 152-ФЗ ст.10 ч.3 | | 1. | Решения, затрагивающие интересы персонала, не основываются на ПД, полученных исключительно в результате их автоматизированной обработки или электронного получения | - ТК ст.86 п.6 | | 1. | Субъект ПД (в т.ч. потребитель) предоставляет ПД, в т.ч. биометрические ПД и (или) согласие на обработку биометрических ПД, только если такая обязанность предусмотрена законом или непосредственно связана с исполнением договора с субъектом ПД | - 152-ФЗ ст.11 ч.3; ЗоЗПП ст.16 ч.4 абз.1 | ## 3.2. Ролевая вовлечённость[^5] | | *Правила* | *ИП* | *ИБ* | *ИТ* | *КБ* | *ПБ* | *БК* | *ВК* | *СП* | *ЛР* | *ВР* | *Комментарии* | |—|—|—|—|—|—|—|—|—|—|—|—|—| | 1. | 3.1.1–3.1.8 | ИО | К | К | — | К | К | — | И | У | У | — | ## 3.3. Документированная информация[^6] | | *Правила* | *Документация, подтверждающая соблюдение правил* | |—|—|—| | 2. | 3.1.1–3.1.8 | - Реестр деятельности в отношении ПД с записями об оценках и управлении рисками ПД — см. п.3.4 Положения | ## 3.4. Риск-ориентированный подход к обработке и защите ПД 1. Целенаправленность и пропорциональность обработки ПД обеспечиваются в т.ч. путем реализации риск-ориентированного подхода, целью которого является контроль рисков обработки и защиты ПД с учетом риск-толерантности и (или) разумных ожиданий заинтересованных сторон (в первую очередь, субъектов ПД, Оператора и иных вовлеченных лиц). 2. Процесс управления рисками подразумевает оценку уровня выявленного риска, а также выбор методов и определение мер реагирования на риск. 3. Управление рисками инициируется при получении ИП сведений о планировании, появлении, изменении или прекращении активностей, связанных с обработкой ПД заинтересованными лицами (СП), а также по результатам организуемого ИП мониторинга риск-факторов (событий и процессов) действующего и планируемого к принятию законодательства о ПД, правоприменительной и судебной практики о ПД. 4. Результаты управления рисками, включая план реагирования на риски, должны быть документированы. ## 3.5. Связанные документы 5. Иные документы, прямо или косвенно регламентирующие работу с ПД в рассматриваемой области: 1. документы, определяющие деятельность Оператора по управлению рисками. — # 4. Основания обработки ПД ## 4.1. Соблюдаемые правила | | *Правила* | *Нормативные ссылки* | |—|—|—| | 6. | Выбрано и используется надлежащее правовое основание для обработки ПД и возможность предоставлять доказательство его наличия заинтересованным лицам (включая журналирование юридически значимых действий пользователей информационных ресурсов, а также проверку полномочий представителя субъекта на дачу СОПД от имени субъекта) | - 152-ФЗ ст.6 ч.1, ст.9 ч.ч.1, 3, ст.10.1 ч.2; ГК ст.152.1 ч.1, ст.152.2 ч.1 абз.1 | | 1. | Практикуется надлежащая модель получения СОПД, в рамках которой субъект принимает решение о даче СОПД свободно, своей волей и в своем интересе, само СОПД является конкретным, предметным, информированным, сознательным и однозначным, а также оформляется отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект | - 152-ФЗ ст.9 ч.1 | | 1. | Соблюдение требований к письменной форме СОПД на бумажном носителе или к СОПД в форме электронного документа | - 152-ФЗ ст.9 ч.4; 63-ФЗ ст.6 | | 1. | Заключение договора (в т.ч. трудового и потребительского) с субъектом ПД по инициативе последнего и исполнение договора с субъектом ПД как стороной, выгодоприобретателем или поручителем | - 152-ФЗ ст.6 ч.1 п.5; ГК ст.ст.152.1 ч.1 п.3, 152.2 ч.2 | | 1. | Договор (в т.ч. трудовой и потребительский) с субъектом ПД не содержит положения: (1) ограничивающие права и свободы субъекта ПД, а также ущемляющие права потребителя или ухудшающие положение работника — как субъектов ПД; (2) устанавливающие случаи обработки ПД несовершеннолетних, если иное не предусмотрено законом; (3) допускающие в качестве условия заключения договора бездействие субъекта ПД | - 152-ФЗ ст.6 ч.1 п.5; ЗоЗПП ст.16 ч.2, п.п.1, 5, 15; ТК ст.57 ч.4, ст.74 ч.8 | | 1. | Осуществление прав и законных интересов оператора или третьих лиц, либо осуществление общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД | - 152-ФЗ ст.6 ч.1 п.7; ГК ст.152.1 ч.1 п.п.1–2, ст.152.2 ч.1 абз.2 | | 1. | Осуществление научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПД | - 152-ФЗ ст.6 ч.1 п.8; ГК ст.152.1 ч.1, ст.152.2 ч.3 | | 1. | Получение СОПД или наличие иных правовых оснований на поручение обработки ПД | - 152-ФЗ ст.6 ч.3 | | 1. | Получение письменного СОПД на включение ПД в общедоступные источники в целях информационного обеспечения | - 152-ФЗ ст.8 ч.1 | | 1. | Получение СОПД недееспособного субъекта ПД у его законного представителя | - 152-ФЗ ст.9 ч.6 | | 1. | Получение СОПД умершего субъекта ПД у его наследников (если СОПД не было получено при жизни субъекта ПД) | - 152-ФЗ ст.9 ч.7; ГК ст.152.2 ч.5 | | 1. | Обработка специальных категорий ПД только при наличии письменного СОПД или в иных предусмотренных законом случаях | - 152-ФЗ ст.10 ч.ч.2–2.1 | | 1. | Получение отдельного и правильно оформленного согласия на распространение ПД | - 152-ФЗ ст.10.1 ч.1; РКН-18; РКН-106 | | 1. | Обработка биометрических ПД только при наличии письменного СОПД или в иных предусмотренных законом случаях | - 152-ФЗ ст.11 ч.ч.1–2 | | 1. | Осуществление трансграничной передачи ПД только с СОПД или в некоторых иных предусмотренных законом случаях | - 152-ФЗ ст.6 ч.1, ст.12 ч.1 | | 1. | Получение СОПД для продвижения товаров, работ, услуг на рынке и для направления иной рекламной информации, а также для политической агитации путем осуществления прямых контактов с помощью средств связи (в т.ч. посредством массовых и/или автоматических телефонных вызовов) или иным образом | - 152-ФЗ ст.15 ч.1; 38-ФЗ ст.18 ч.1; 126-ФЗ ст.ст.44.1, 44.1-1 | | 1. | Принятие решений в отношении субъектов ПД на основании исключительно автоматизированной обработки ПД только при наличии письменного СОПД или иных в предусмотренных законом случаях | - 152-ФЗ ст.16 ч.2 | | 1. | Обезличивание ПД только при наличии СОПД либо в иных предусмотренных законом случаях | - 152-ФЗ ст.6 ч.1 п.п.1, 9, 9.1 | | 1. | Разъяснение субъекту ПД юридических последствий отказа предоставить ПД и (или) дать СОПД, когда предоставление ПД и (или) получение СОПД является обязательным по закону | - 152-ФЗ ст.18 ч.2 | | 1. | Предварительное предоставление субъекту ПД информации об обработке ПД при их получении не от самого субъекта ПД (включая мониторинг пользователей информационных ресурсов и их поведения) | - 152-ФЗ ст.18 ч.ч.3–4 | | 1. | Обработка ПД персонала только для обеспечения соблюдения законов и иных нормативных правовых актов, содействия персоналу в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности персонала, контроля количества и качества выполняемой работы и обеспечения сохранности имущества | - ТК ст.86 п.1 | | 1. | Получение ПД персонала у третьей стороны только при наличии письменного СОПД персонала и при условии предварительного уведомления персонала | - ТК ст.86 п.3 | | 1. | Обработка информации о состоянии здоровья и иных специальных категорий ПД персонала только в том объеме, который относится к вопросу о возможности выполнения трудовой функции, за исключением предусмотренных законом случаев | - ТК ст.86 п.4, ст.88 абз.7 | | 1. | Обработка ПД персонала о членстве в общественных объединениях или его профсоюзной деятельности только в предусмотренных законом случаях | - ТК ст.86 п.5 | | 1. | Передача ПД персонала (в т.ч. в коммерческих целях) третьей стороне только при наличии письменного СОПД или когда это необходимо в целях предупреждения угрозы жизни и здоровью персонала либо в иных в предусмотренных законом случаях | - ТК ст.88 абз.2–3 | ## 4.2. Ролевая вовлечённость[^7] | | *Правила* | *ИП* | *ИБ* | *ИТ* | *КБ* | *ПБ* | *БК* | *ВК* | *СП* | *ЛР* | *ВР* | *Комментарии* | |—|—|—|—|—|—|—|—|—|—|—|—|—| | 1. | 4.1.1 | ИО | — | — | — | К | К | — | КУ | — | — | [1] Получение СОПД участников мероприятий и/или пользователей информационных ресурсов Оператора. [2] Получение СОПД персонала Оператора для ряда целей могут осуществлять ключевые исполнители по процессу или непосредственные руководители персонала (на локациях, где отсутствуют специалисты КБ). | | 2. | 4.1.2–4.1.20 | ИО | — | К | — | К | К | И₁ | ИО | — | — | | | 3. | 4.1.21–4.1.25 | ИО | — | К | ИО | К | К | — | ИК | И₂ | — | | ## 4.3. Документированная информация[^8] | | *Правила* | *Документация, подтверждающая соблюдение правил* | |—|—|—| | 4. | 4.1.1 | - Реестр деятельности в отношении ПД с записями об используемых правовых основаниях для обработки ПД | | 1. | 4.1.2–4.1.20 | - Типовые формы СОПД категорий субъектов ПД, не являющихся персоналом Оператора; - Типовой раздел о ПД в договор гражданско-правового характера с субъектом ПД (Data Privacy Addendum — Counterparty); - Условия о ПД в анкеты, опросники, заявления и иные документы для получения ПД не от самого субъекта (Data Reception Assurance — Integrated); - Типовые заверения и гарантии в отношении получения ПД не от самого субъекта (Data Reception Assurance — Standalone); - Типовая форма описания законного интереса Оператора или третьих лиц как правового основания обработки ПД; - Разъяснения субъекту (представителю субъекта) ПД последствий отказа от предоставления им своих ПД для обработки; - Полученные СОПД различных категорий субъектов ПД, не являющихся персоналом [*владелец — СП*]; - Подписанные с субъектами ПД договоры гражданско-правового характера [*владелец — СП*]; - Заполненные субъектами ПД анкеты, опросники, заявления, заверения [*владелец — СП*]; - Документированное использование законного интереса как правового основания обработки ПД субъектов, не являющихся персоналом [*владельцы — ИП и СП*] | | 1. | 4.1.21–4.1.25 | - Типовые формы СОПД персонала Оператора и связанных с ним лиц; - Типовой раздел о ПД в трудовой договор с работником (Data Privacy Addendum — Employee); - Условия о ПД в локальные акты Оператора (Data Privacy Addendum — Procedure); - Условия о ПД в анкеты, опросники, заявления и иные документы для получения у персонала ПД других субъектов (Data Reception Assurance — Integrated); - Типовые заверения и гарантии для получения у персонала ПД других субъектов (Data Reception Assurance — Standalone); - Разъяснения работнику (представителю работника) ПД последствий отказа от предоставления им своих ПД для обработки; - Полученные СОПД персонала и связанных с ним лиц [*владелец — КБ*]; - Подписанные с персоналом трудовые договоры [*владелец — КБ*]; - Заполненные персоналом анкеты, опросники, заявления, заверения [*владелец — КБ*]; - Документированное использование законного интереса как правового основания обработки ПД персонала и связанных лиц [*владельцы — ИП и КБ*] | ## 4.4. Связанные документы 1. Иные документы, прямо или косвенно регламентирующие работу с ПД в рассматриваемой области: 1. документы, определяющие правила внутреннего трудового распорядка (ПВТР); 2. документы, определяющие порядок организации кадрового резерва; 3. документы, определяющие деятельность в области бухгалтерского учёта и расчёта заработной платы; 4. документы, определяющие деятельность в области командировок, служебных поездок, совещаний; 5. документы, определяющие правила противодействия коррупции и соблюдения деловой этики; 6. документы, определяющие правила предоставления служебного транспорта; 7. документы, определяющие порядок организации обучения и аттестации; 8. документы (договоры), определяющие порядок организации пропускной системы и видеонаблюдения; 9. документы, определяющие правила использования внутренних (телефонных) справочников, коммуникационных систем (электронная почта, ВКС, мессенджеры); 10. документы, определяющие порядок взаимодействия Оператора с работниками при дистанционной (удаленной) работе; 11. документы, определяющие порядок ведения электронного документооборота в сфере трудовых отношений; 12. документы, определяющие порядок выпуска и использования электронных подписей работникам Оператора для взаимодействия с третьими лицами; 13. документы о корпоративной мобильной связи и предоставлении служебного доступа в сеть «Интернет»; 14. документы, определяющие порядок и сроки хранения документации в Компании («Номенклатура дел», «Организация архивного хранения» и т.п.). — # 5. Сбор, использование, хранение и уничтожение ПД ## 5.1. Соблюдаемые правила | | *Правила* | *Нормативные ссылки* | |—|—|—| | 2. | При сборе ПД граждан РФ запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПД осуществляются исключительно с использованием БД в РФ, а также хранение в РФ документов и БД бухгалтерского учета | - 152-ФЗ ст.18 ч.5; 149-ФЗ ст.16 ч.4 п.7; ФСБУ 27/2021 п.25 | | 1. | Обособление ПД при обработке без использования средств автоматизации от иной информации, в частности путем фиксации ПД на отдельных материальных носителях, в специальных разделах или на полях форм (бланков) | - ПП-687 п.4 | | 1. | Надлежаще оформленные типовые формы документов, предполагающие или допускающие включение в них ПД | - ПП-687 п.7 | | 1. | Надлежащее ведение журналов (реестров, книг) с ПД, необходимых для однократного пропуска субъекта ПД на территорию Оператора | - ПП-687 п.8 | | 1. | Раздельная обработка ПД, зафиксированных на одном материальном носителе, при несовместимости целей обработки таких ПД | - ПП-687 п.9 | | 1. | Раздельное хранение материальных носителей с ПД, обработка которых осуществляется в различных целях без использования средств автоматизации | - ПП-687 п.14 | | 1. | ПД хранятся не дольше, чем этого требуют цели их обработки | - 152-ФЗ ст.5 ч.7; ТК ст.87 | | 1. | Локальным актом определен порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований, а также осуществляется надлежащее уничтожение ПД и подтверждение этого факта | - 152-ФЗ ст.18.1 ч.1 п.2, ст.21 ч.7; РКН-179; МЦ-1015 | | 1. | Уничтожение или обезличивание части ПД, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку ПД с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание) | - ПП-687 п.10 | | 1. | Надлежащая организация хранения, комплектования, учета и использования архивных документов, в т.ч. содержащих ПД, определение ответственных за сохранность архива, издание соответствующих локальных актов и регламентация процедур для поддержания архива | - 152-ФЗ ст.1 ч.2 п.2; 125-ФЗ ст.13 ч.2, ст.17 ч.1, ст.22.1, ст.24 ч.2 | | 1. | Определение и соблюдение надлежащего порядка обработки подлежащих обезличиванию ПД (в т.ч. зафиксированных на материальных носителях), осуществления деятельности по обезличиванию ПД (автоматизированном и/или неавтоматизированному), применения и оценки достаточности применяемого метода (методов) обезличивания ПД, обработки обезличенных ПД — *при условии фактического осуществления Оператором деятельности по обезличиванию ПД* | - 152-ФЗ ст.5 ч.7, ст.23 ч.12; ПП-687 п.10; РКН-140 | | 1. | Обезличивание ПД в соответствии с нормативно установленными требованиями, методами и порядком обезличивания ПД, а также последующее предоставление обезличенных ПД (с исключением наличия в обезличенных ПД информации, доступ к которой ограничен федеральными законами) в ФГИС «НСУД» *— при условии получения Оператором от уполномоченного органа требования о предоставлении обезличенных ПД* | - 152-ФЗ ст.6 ч.1 п.9.1, ст.13.1 ч.ч.2–3; ПП-733; ПП-538; ПП-702; ПП-961; ПП-966; ПП-1154 | | 1. | Проведение законным способом авторизации в отношении находящихся в РФ пользователей российских сайтов, мобильных приложений, информационных систем и программного обеспечения, предоставляющих доступ к информации в них только авторизованным пользователям, а также соблюдения запрета на неправомерную передачу информации для регистрации и (или) авторизации пользователя сети «Интернет» для получения доступа к функциональным возможностям информационного ресурса иному лицу | - 149-ФЗ ст.8 ч.10 | | 1. | Применение в отношении пользователей сети «Интернет» рекомендательных технологий[^9], не нарушающих права и законные интересы граждан и организаций, а также не допущение применения рекомендательных технологий в целях противоправного предоставления информации | - 149-ФЗ ст.10.2-2 ч.1 п.1 | | 1. | Автоматизированная биометрическая идентификация и (или) аутентификация физических лиц с использованием ФГИС «ЕСИА» или автоматизированная биометрическая аутентификация физических лиц с использованием прошедших аккредитацию коммерческих биометрических систем | - 572-ФЗ ст.ст.9, 10, 15, 16; ПП-405; ПП-408; ПП-451; ПП-478; ПП-585; ПП-810; ПП-815; ПП-883; МЦ-453; МЦ-1024 | | 1. | При обработке обезличенных ПД в ФГИС «НСУД» соблюдаются применимые правила, ограничения и запреты, включая запрет на выгрузку обезличенных ПД из ГИС и (или) предоставление результатов обработки составов ПД иностранным лицам | - 152-ФЗ ст.13.1 ч.ч.10–12 | ## 5.2. Ролевая вовлечённость[^10] | | *Правила* | *ИП* | *ИБ* | *ИТ* | *КБ* | *ПБ* | *БК* | *ВК* | *СП* | *ЛР* | *ВР* | *Комментарии* | |—|—|—|—|—|—|—|—|—|—|—|—|—| | 1. | 5.1.1 | ИО | К | К | — | К | К | — | К | У | У | [1] Организация и координация процесса удаления/уничтожения ПД в ИСПД, на АРМ и отчуждаемых машинных носителях. [2] Контроль процесса уничтожения/обезличивания бумажных носителей ПД. [3] Контроль процесса архивного хранения документов на бумажных носителях и электронной документации. [4] Организация и координация обезличивания ПД, а также возможного последующего предоставления обезличенных ПД в ФГИС «НСУД». [5] Организация и координация применения рекомендательных технологий на Интернет-ресурсах. | | 2. | 5.1.2–5.1.6 | ОК | — | — | И | И | — | — | И | У | — | | | 3. | 5.1.7 | ИО | — | К | — | К | К | К | И | У | — | | | 4. | 5.1.8 | КУ | К | ИО₁ | К | К | К | — | ИК | О₁ | — | | | 5. | 5.1.9 | КУ | К | — | К | К | — | — | ИК | О₂ | — | | | 6. | 5.1.10 | КУ | — | И | К | К | К | — | ИК | О₃ | У | | | 7. | 5.1.11–12 | КУ | КУ | ИО₄ | К | К | К | — | ИК | О₄ | — | | | 8. | 5.1.13 | КУ | ИО | И | — | К | К | — | КУ | — | — | | | 9. | 5.1.14 | КУ | — | И | К | К | К | — | ИК | О₅ | — | | ## 5.3. Документированная информация[^11] | | *Правила* | *Документация, подтверждающая соблюдение правил* | |—|—|—| | 10. | 5.1.1 | - Реестр деятельности в отношении ПД с записями о применимости требований о локализации к отдельно взятым ИСПД | | 1. | 5.1.2–5.1.6 | - Типовые формы документов, предполагающие или допускающие включение в них ПД, и необходимая для заполнения типовых форм регламентирующая документация [*владелец — СП*]; - Журналы (реестры, книги) с ПД для пропуска на территорию Оператора, и необходимая для заполнения журналов регламентирующая документация [*владелец — СП*] | | 1. | 5.1.7 | - Реестр деятельности в отношении ПД с записями о сроках обработки (в т.ч. хранения) ПД | | 1. | 5.1.8–5.1.9 | - Акты и выгрузки из журнала регистрации событий в ИСПД о прекращении обработки (уничтожении) ПД [*владельцы — ИТ и СП*]; - см. п.5.4 Положения | | 1. | 5.1.10 | - Локальные акты и документация Оператора, регламентирующие хранение, комплектование, учет и использование архивных документов, в т.ч. содержащих ПД [*владельцы — ИТ и СП*] | | 1. | 5.1.11–5.1.12 | - Локальные акты и документация Оператора, определяющих порядок обработки подлежащих обезличиванию ПД, осуществления деятельности по обезличиванию ПД, применения и оценки достаточности применяемого метода (методов) обезличивания ПД, обработки обезличенных ПД, а также порядок предоставления обезличенных ПД в ФГИС «НСУД» (при необходимости) [*владельцы — ИТ и СП*]; - Протоколы, отчеты, акты, выгрузки из журнала регистрации событий в ИСПД об осуществлении и результатах деятельности по обезличиванию ПД, об оценке достаточности применяемого метода (методов) обезличивания ПД, а также о предоставлении обезличенных ПД в ФГИС «НСУД» (при необходимости) [*владельцы — ИТ и СП*] | | 1. | 5.1.13 | - Локальные акты и документация Оператора, регламентирующие проведение авторизации в отношении находящихся в РФ пользователей российских сайтов, информационных систем и программного обеспечения [*владельцы — ИБ и ИТ*] | | 1. | 5.1.14 | - Локальные акты и документация Оператора, регламентирующие применение рекомендательных технологий, не нарушающих права и законные интересы граждан и организаций, а также не допущение применения рекомендательных технологий в целях противоправного предоставления информации [*владельцы — ИБ и ИТ*] | ## 5.4. Условия прекращения обработки ПД и порядок уничтожения ПД 1. Оператор установил следующие условия прекращения обработки ПД: 1. достижение целей обработки ПД и (или) максимальных сроков хранения ПД; 2. утрата необходимости в достижении целей обработки ПД; 3. выявление неправомерной обработки ПД, в том числе факта незаконного получения ПД или отсутствия необходимости ПД для заявленной цели обработки ПД; 4. невозможность обеспечения правомерности обработки ПД; 5. отзыв субъектом ПД согласия на обработку ПД, если сохранение ПД более не требуется для целей обработки ПД; 6. требование субъекта ПД к Оператору о прекращении обработки ПД, за исключением случаев, предусмотренных законодательством; 7. истечение сроков давности (в т.ч. исковой) для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПД; 8. ликвидация или некоторые формы реорганизации Оператора. 2. Прекращение обработки ПД, регулируемой нормами 152-ФЗ, происходит: 1. путем блокирования ПД; 2. путем уничтожения ПД; 3. в случаях, предусмотренных законодательством об архивном деле в РФ. 3. При невозможности уничтожения ПД в сроки, определенные 152-ФЗ для случаев, когда невозможно обеспечить правомерность обработки ПД, при достижении целей обработки ПД, а также при отзыве субъектом согласия на обработку ПД и (или) получении Оператором требования субъекта ПД о прекращении обработки ПД, если сохранение ПД более не требуется для целей обработки ПД, Оператор осуществляет блокирование ПД и уничтожает ПД в течение 6 (Шести) месяцев, если иной срок не установлен применимым законодательством. 4. Уничтожение ПД производится способом, исключающим возможность восстановления этих ПД. Если ПД невозможно уничтожить без такого повреждения их материального носителя, которое будет препятствовать его дальнейшему использованию по назначению, то уничтожению подлежат и ПД, и их материальный носитель. 5. Уничтожение ПД в ИСПД, на АРМ и отчуждаемых машинных носителях[^12] ПД осуществляется с помощью штатных средств или с помощью специализированных программных, аппаратных или программно-аппаратных средств, а в установленных нормативными правовыми актами случаях (см. п.11.1.6 Положения) — с применением прошедших в установленном порядке процедуру оценки соответствия СЗИ, в составе которых реализована функция уничтожения информации. 6. Уничтожение или обезличивание части ПД, если это допускается материальным носителем информации, может производиться способом, исключающим дальнейшую обработку этих ПД с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). 7. Уничтожение ПД третьим лицом, обрабатывающим ПД по поручению Оператора, осуществляется в порядке, установленном договором между Оператором и третьим лицом, а также с учетом требований применимого законодательства. 8. Подтверждение факта уничтожения ПД осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД, если иное не установлено применимым законодательством. ## 5.5. Связанные документы 9. Иные документы, прямо или косвенно регламентирующие работу с ПД в рассматриваемой области: 1. документы, определяющие правила внутреннего трудового распорядка (ПВТР); 2. документы, определяющие порядок организации кадрового резерва; 3. документы, определяющие деятельность в области бухгалтерского учёта и расчёта заработной платы; 4. документы, определяющие деятельность в области командировок, служебных поездок, совещаний; 5. документы, определяющие правила противодействия коррупции и соблюдения деловой этики; 6. документы, определяющие правила предоставления служебного транспорта; 7. документы, определяющие порядок организации обучения и аттестации; 8. документы (договоры), определяющие порядок организации пропускной системы и видеонаблюдения; 9. документы, определяющие правила использования внутренних (телефонных) справочников, коммуникационных систем (электронная почта, ВКС, мессенджеры); 10. документы, определяющие порядок взаимодействия Оператора с работниками при дистанционной (удаленной) работе; 11. документы, определяющие порядок ведения электронного документооборота в сфере трудовых отношений; 12. документы, определяющие порядок выпуска и использования электронных подписей работникам Оператора для взаимодействия с третьими лицами; 13. документы о корпоративной мобильной связи и предоставлении служебного доступа в сеть «Интернет»; 14. документы, определяющие порядок и сроки хранения документации в Компании («Номенклатура дел», «Организация архивного хранения» и т.п.). — # 6. Передача ПД и соглашения с третьими лицами ## 6.1. Соблюдаемые правила | | *Правила* | *Нормативные ссылки* | |—|—|—| | 10. | Соблюдение конфиденциальности ПД, т.е. не раскрытие ПД третьим лицам и не распространение ПД без надлежащего правового основания | - 152-ФЗ ст.7; 149-ФЗ ст.16 ч.1 п.2; ТК ст.88 абз.2–3; ГК ст.ст.152.1 ч.1, 152.2 ч.ч.2–3 | | 1. | Обеспечение необходимых договорных положений при поручении осуществлять обработку ПД — как Оператором в адрес третьих лиц, так и третьими лицами в адрес оператора | - 152-ФЗ ст.6 ч.3, ст.7, ст.18 ч.5, ст.18.1 ч.1, ст.19 ч.ч.2, 12, ст.21 ч.3.1; ТК ст.88 абз.4; ПП-1119 п.3 | | 1. | Обеспечение необходимых договорных положений между Оператором и третьими лицами при передаче/получении ПД без поручения их обработки | - 152-ФЗ ст.6 ч.1, ст.7, ст.9 ч.8, ст.18 ч.ч.4–5, ст.19 ч.ч.1, 12, ст.21 ч.3.1; ТК ст.88 абз.4 | | 1. | Принятие разумных мер для уведомления (извещения) третьих лиц о прекращении действия правовых оснований для передачи ПД таким лицам и для обработки ранее полученных такими лицами ПД, а также об обоснованной необходимости внесения третьими лицами изменений (исключений, исправлений, дополнений) в ранее переданные им ПД | - 152-ФЗ ст.20 ч.3; ТК ст.89 абз.7 | | 1. | Получение от зарубежного получателя ПД необходимых сведений для оценки допустимости трансграничной передачи ПД до её начала | - 152-ФЗ ст.12 ч.5; ПП-24; РКН-128 | | 1. | Неосуществление трансграничной передачи ПД в недоверенные государства на период рассмотрения уполномоченным органом уведомления о намерении осуществлять трансграничную передачу ПД | - 152-ФЗ ст.12 ч.11 | | 1. | Соблюдение действующих запретов и ограничений в отношении трансграничной передачи ПД, а также обеспечение уничтожения зарубежным получателем ранее переданных ему ПД | - 152-ФЗ ст.12 ч.ч.8, 12, 14; ПП-6 | | 1. | Опубликование указанных субъектом ПД условий и запретов в отношении возможности обработки неограниченным кругом лиц распространяемых ПД | - 152-ФЗ ст.10.1 ч.10 | | 1. | Наличие соответствующих лицензий на осуществление деятельности по технической защите конфиденциальной информации (ТЗКИ) и (или) на выполнение работ и оказание услуг в области шифрования информации при обработке ПД в ИСПД по поручению другого оператора | - 99-ФЗ ст.12 ч.1 п.п.1, 5; ПП-1119 п.3 | | 1. | Соблюдение обязанности не раскрывать информацию о факте обращения к Оператору заявителя (физического лица) с требованием о прекращении выдачи ссылок в поисковой системе (т.н. «право на забвение») за исключением случаев, установленных законом | - 149-ФЗ ст.2 п.20, ст.10.3 ч.8 | | 1. | Соблюдение запрета на использование иностранных мессенджеров (принадлежащих иностранным лицам информационных систем и (или) ПО для обмена электронными сообщениями) как для предоставления информации, содержащей ПД граждан РФ, так и для информирования граждан РФ | - 149-ФЗ ст.10 ч.8; 41-ФЗ ст.15 ч.1; [Перечень иностранных мессенджеров](https://rkn.gov.ru/docs/Perechen6_informacionnykh_sistem_05052023.pdf) | | 1. | Соблюдение порядка ограничения доступа к распространяемой с нарушением закона информации (в т.ч. содержащей ПД) путём удаления такой информации владельцем сайта или владельцем информационного ресурса в сети «Интернет» | - 149-ФЗ ст.15.3 ч.4.1 | ## 6.2. Ролевая вовлечённость[^13] | | *Правила* | *ИП* | *ИБ* | *ИТ* | *КБ* | *ПБ* | *БК* | *ВК* | *СП* | *ЛР* | *ВР* | *Комментарии* | |—|—|—|—|—|—|—|—|—|—|—|—|—| | 1. | 6.1.1 | ИО | — | — | — | К | К | — | КУ | — | — | [1] Перед принятием решения о сотрудничестве у потенциальных контрагентов-обработчиков рекомендуется запрашивать, как минимум, следующее: ссылка на запись о контрагенте в Реестре операторов; текст действующей политики в отношении ПД; сведения о реализуемых требованиях к защите ПД; сведения о непривлечении контрагента к ответственности за нарушения в области ПД и об отсутствии у контрагента предписаний/представлений от надзорных органов в области ПД за последний год; сведения об отсутствии у контрагента инцидентов любого характера в отношении ПД за последний год; наличие у контрагента разрешительных и подтверждающих статус документов — лицензий, сертификатов, аккредитаций, аттестатов. [2] Обеспечение публикации условий и запретов. [3] Учет указанных персоналом условий и запретов, а также организация их публикации. [4] Учет указанных субъектами ПД (кроме персонала) условий и запретов, а также организация их публикации. | | 1. | 6.1.2–6.1.3 | ИО | — | — | — | И | К | — | ИО₁ | — | — | | | 2. | 6.1.5–6.1.7 | ИО | — | — | — | И | К | — | ИО | — | — | | | 3. | 6.1.8 | К | — | И₂ | ИО₃ | — | — | И₂ | ИО₄ | — | — | | | 4. | 6.1.9 | К | ИО | К | — | К | К | — | — | — | У | | ## 6.3. Документированная информация[^14] | | *Правила* | *Документация, подтверждающая соблюдение правил* | |—|—|—| | 5. | 6.1.1 | - Реестр деятельности в отношении ПД с записями о раскрытии ПД третьим лицам и неопределённому (неограниченному) кругу лиц | | 1. | 6.1.2–6.1.4 | - Типовая форма соглашения о передаче ПД без поручения обработки (Data Transfer Agreement); - Типовой раздел о ПД в договор гражданско-правового характера с юридическими лицами и индивидуальными предпринимателями (Data Transfer Addendum); - Типовая форма разового соглашения о поручении обработки ПД (Data Processing Agreement); - Типовая форма рамочного соглашения о поручении обработки ПД (Data Processing Framework Agreement); - Типовая форма обязательства исполнителя (физического лица) о неразглашении ПД (Data Processing Commitment); - Подписанные соглашения и обязательства [*владелец — СП*] | | 1. | 6.1.5–6.1.7 | - Реестр деятельности в отношении ПД с записями результатов анализа ТПД; - Акт оценки ТПД; - Типовые договорные условия о ТПД (Cross-Border Data Transfer Addendum); - Подписанные договорные условия о ТПД [*владелец — СП*]; - см. п.6.4 Положения | | 1. | 6.1.8 | - учетная документация с описанием условий и запретов в отношении возможности обработки неограниченным кругом лиц распространяемых ПД [*владельцы — КБ и СП*] | | 1. | 6.1.9 | - лицензии на осуществление деятельности по технической защите конфиденциальной информации (ТЗКИ) и (или) на выполнение работ и оказание услуг в области шифрования информации при обработке ПД в ИСПД [*владелец — ИБ*] | ## 6.4. Особенности организации ТПД, в т.ч. порядок проведения и методология оценки ТПД 1. В соответствии с ч.3 ст.12 152-ФЗ Оператор до начала осуществления ТПД направляет в Роскомнадзор уведомление о намерении осуществлять ТПД, которое должно соответствовать требованиям ч.4 ст.12 № 152-ФЗ. В случае изменения сведений, содержащихся в уведомлении, а также в случае прекращения ТПД Оператор также уведомляет об этом Роскомнадзор. 2. До начала ТПД осуществляется идентификация и обработка рисков запрета ТПД (п.23 ПП-24): 1. зарубежный получатель не защищает ПД и/или не определил условия их уничтожения; 2. зарубежный получатель — запрещенная судом РФ организация; 3. зарубежный получатель — нежелательная в РФ иностранная/международная НПО; 4. ТПД и дальнейшая обработка ПД не совместима с целями сбора ПД; 5. ТПД не предусмотрена ч.1 ст.6 152-ФЗ. 3. До начала ТПД Оператором осуществляется идентификация и обработка рисков ограничения ТПД (п.26 ПП-24): 1. содержание и объем ПД не соответствуют цели ТПД; 2. категории субъектов ПД не соответствуют цели ТПД. 4. До начала ТПД Оператором осуществляется идентификация и обработка рисков задержки начала ТПД: 1. неуведомление Оператором Роскомнадзора об обработке ПД по ст.22 152-ФЗ; 2. намерение осуществлять ТПД в недоверенные государства; 3. намерение осуществлять ТПД в недружественные государства; 4. намерение осуществлять ТПД в отношении биометрических ПД, специальных категорий ПД, персональных данных, полученных в результате обезличивания ПД, ПД несовершеннолетних лиц (п.13 ПП-24); 5. намерение осуществлять ТПД на основании п.п. 4, 6, 7, 9.1, 11 ч.1 ст.6 152-ФЗ; 6. намерение осуществлять ТПД с целью, отличной от цели сбора или получения ПД в РФ. 5. До начала ТПД Оператором запрашиваются у зарубежного получателя сведения, в предусмотренном ч.5 ст.12 152-ФЗ объеме и составе, способами получения которых могут являться: 1. использование общедоступных текстов политик зарубежного получателя в области обработки и защиты ПД (обеспечения ИБ); 2. изучение проектов или уже заключенных договоров об обработке (передаче) ПД между Оператором и зарубежным получателем; 3. запрос у зарубежного получателя документации об обработке и защите ПД, а также о правовом регулировании ПД в недоверенном государстве; 4. устный (интервьюирование) или письменный (анкетирование) опрос представителей зарубежного получателя; 5. изучение и анализ правового регулирования ПД (самостоятельное или с привлечением внешней экспертизы), если ТПД планируется в недоверенное государство. 6. Оценка ТПД проводится на основе экспертной оценки лиц, указанных в п.6.2.2 Положения, оформляется путем составления соответствующего акта оценки ТПД, а также пересматривается и актуализируется по мере возникновения такой необходимости (*например, заблаговременно до направления уведомления о намерении ТПД в Роскомнадзор*). 7. В акте оценки ТПД указывается: 1. наименование составления акта; 2. наименование, ИНН и ОГРН Оператора; 3. описание подтверждение обеспечения зарубежным получателем конфиденциальности ПД, которые он может получить от Оператора; 4. описание оцениваемых мер по обеспечению зарубежным получателем безопасности обработки ПД, которые он может получить от Оператора, при ТПД без поручения обработки ПД; 5. описание оцениваемых мер по обеспечению зарубежным получателем безопасности обработки ПД, которые он может получить от Оператора, при ТПД с поручением обработки ПД; 6. описание оцениваемых условий прекращения зарубежным получателем обработки ПД, которые он может получить от Оператора; 7. описание оцениваемых положений правового регулирования ПД в недоверенных государствах, в которые планируется осуществление ТПД; 8. дата проведения оценки ТПД; 9. фамилия, имя, отчество, наименование должности, подпись и расшифровка подписи лица, проводившего оценку ТПД. ## 6.5. Связанные документы 8. Иные документы, прямо или косвенно регламентирующие работу с ПД в рассматриваемой области: 1. документы, определяющие порядок ведения (пред)договорной работы с контрагентами; 2. документы, определяющие порядок размещения ПД персонала в общедоступных источниках (Интернет-сайты, газеты, журналы и т.д.). — # 7. Коммуникация и взаимодействие с субъектами ПД ## 7.1. Соблюдаемые правила | | *Правила* | *Нормативные ссылки* | |—|—|—| | 9. | Опубликование (в т.ч. на информационных ресурсах в сети «Интернет» — при сборе ПД на таких ресурсах) или обеспечение неограниченного доступа к политике оператора в отношении обработки ПД, а также к сведениям о реализуемых требованиях к защите ПД (могут быть включены в политику) | - 152-ФЗ ст.18.1 ч.2 | | 1. | Безвозмездное предоставление в доступной форме по запросу субъекта ПД сведений о наличии ПД и предоставление возможности ознакомления с ПД (без раскрытия ПД других субъектов при отсутствии на это законных оснований), либо предоставление мотивированного отказа в сообщении информации и (или) ознакомлении с ПД | - 152-ФЗ ст.14 ч.ч.2, 7, ст.20 ч.ч.1–3; 149-ФЗ ст.16 ч.1 п.3; ТК ст.89 абз.2–3 | | 1. | Предоставление субъекту ПД разъяснений о порядке принятия решения и его последствиях на основании исключительно автоматизированной обработки ПД | - 152-ФЗ ст.16 ч.3 | | 1. | Предоставление субъекту ПД по его просьбе информации об обработке ПД при их сборе | - 152-ФЗ ст.18 ч.1, ст.14 ч.7 | | 1. | Персонал может реализовать право на получение копии любой записи, содержащей ПД персонала, за исключением предусмотренных законом случаев | - ТК ст.89 абз.3 | | 1. | Персонал может реализовать право на доступ к медицинской документации, отражающей состояние его здоровья, с помощью медицинского специалиста по его выбору | - ТК ст.89 абз.5 | | 1. | Надлежащий прием и исполнение требования субъекта ПД об исключении ПД из общедоступных источников | - 152-ФЗ ст.8 ч.2 | | 1. | Надлежащий прием и исполнение требования субъекта ПД о прекращении в любое время передачи (распространения, предоставления, доступа) ПД, разрешенных субъектом ПД для распространения (в т.ч. распространенного в сети «Интернет» изображения гражданина), что также означает отзыв ранее предоставленного согласия субъекта на распространение ПД | - 152-ФЗ ст.10.1 ч.12; ГК ст.152.1 ч.3 | | 1. | Надлежащий прием и исполнение требования субъекта ПД о прекращении в течение 3-х рабочих дней передачи (распространения, предоставления, доступа) ранее распространенных ПД | - 152-ФЗ ст.10.1 ч.14 | | 1. | Надлежащий прием и исполнение требования субъекта ПД о прекращении обработки ПД для продвижения товаров, работ, услуг на рынке и для политической агитации путем осуществления прямых контактов с помощью средств связи | - 152-ФЗ ст.15 ч.2 | | 1. | Надлежащий прием и исполнение требования (обращения) субъекта ПД об уточнении, блокировании или уничтожении неполных, устаревших, неточных, незаконно полученных, не нужных из-за достижения цели или иным образом неправомерно обрабатываемых ПД, а также надлежащее уведомление субъекта ПД о внесенных изменениях и предпринятых мерах в предусмотренных законом случаях | - 152-ФЗ ст.14 ч.1, ст.20 ч.3, ст.21 ч.ч.1–3, 4, 6; ТК ст.89 абз.6 | | 1. | Надлежащая организация приема и обработки отзыва СОПД или требования субъекта ПД о прекращении обработки ПД (или обеспечении такого прекращения обработчиками) и уничтожении ПД | - 152-ФЗ ст.21 ч.ч.5–5.1, 6 | | 1. | Предоставление субъекту ПД (потребителю) по его требованию информации о причинах и основаниях невозможности заключения, исполнения, изменения или расторжения потребительского договора без предоставления ПД, и в той форме (включая устную), в которой предъявлено требование потребителя | - ЗоЗПП ст.16 ч.4 абз.2–4 | | 1. | Информирование пользователей о применении на информационном ресурсе рекомендательных технологий, размещение на информационном ресурсе правил применения рекомендательных технологий с указанием необходимых реквизитов, а также обеспечение к правилам беспрепятственного и безвозмездного доступа | - 149-ФЗ ст.10.2-2 ч.1 п.п.2–4, ч.ч.2–3 | | 1. | Прекращение выдачи сведений в поисковой системе об указателе страницы сайта в сети «Интернет», позволяющих получить доступ к информации о заявителе (физическом лице), распространяемой с нарушением законодательства РФ, являющейся недостоверной, а также неактуальной, утратившей значение для заявителя в силу последующих событий или действий заявителя (за некоторым исключением) в течении 10 рабочих дней с момента получения соответствующего требования заявителя (т.н. «право на забвение»). | - 149-ФЗ ст.2 п.20, ст.10.3 ч.1 | ## 7.2. Ролевая вовлечённость[^15] | | *Правила* | *ИП* | *ИБ* | *ИТ* | *КБ* | *ПБ* | *БК* | *ВК* | *СП* | *ЛР* | *ВР* | *Комментарии* | |—|—|—|—|—|—|—|—|—|—|—|—|—| | 1. | 7.1.1 | ОК | — | И₁ | — | К | К | И₂ | У | — | — | [1] Публикация на информационных ресурсах и мобильных приложениях Оператора. [2] Размещение на информационных стендах и предоставление по запросу заинтересованных лиц. [3] Обработка обращений и взаимодействие с персоналом. [4] Взаимодействие с субъектами ПД (кроме персонала). [5] Обработка обращений субъектов ПД (кроме персонала). | | 2. | 7.1.2–7.1.12 | ИО | К | К | ИК₃ | К | К | ИК₄ | ИК₅ | — | — | | ## 7.3. Документированная информация[^16] | | *Правила* | *Документация, подтверждающая соблюдение правил* | |—|—|—| | 3. | 7.1.1 | - Политика и приложение к Политике опубликованы на информационных ресурсах Оператора или иным образом доступны всем заинтересованным лицам | | 1. | 7.1.2–7.1.12 | - Реестр деятельности в отношении ПД с записями о результатах обработки обращений субъектов ПД; - Типовые формы политики конфиденциальности и уведомления о мониторинге поведения пользователей информационных ресурсов (сайтов и (или) мобильных приложений) Оператора; - Типовые формы уведомлений об обработке ПД для субъектов ПД, дистанционно взаимодействующих с Оператором (электронная почта, мессенджеры, телефонная связь и т.п.); - см. п.7.4 Положения | ## 7.4. Особенности обработки обращений субъектов ПД 1. Базовый алгоритм обработки обращений (запросов, жалоб, требований, претензий, судебных исков) от субъектов (представителей субъектов) ПД: 1. прием обращений и их перенаправление на уполномоченных лиц Оператора; 2. принятие решений об обработке обращений (идентификация субъекта ПД, проверка достаточности информации в обращении, оценка законности и мотивированности обращения и т.д.); 3. выполнение обращений; 4. подготовка и отправка ответов на обращения; 5. фиксация результатов обработки обращений и сохранение оригиналов/копий документов и сведений, непосредственно связанных с обработкой обращений. ## 7.5. Связанные документы 2. Иные документы, прямо или косвенно регламентирующие работу с ПД в рассматриваемой области: 1. документы, определяющие деятельность по внешним коммуникациям, PR и рассмотрению поступающих обращений различного характера. — # 8. Коммуникация и взаимодействие с уполномоченными органами ## 8.1. Соблюдаемые правила | | *Правила* | *Нормативные ссылки* | |—|—|—| | 3. | Своевременное сообщение необходимой информации по запросу уполномоченного органа в отношении соблюдения требований законодательства о ПД | - 152-ФЗ ст.20 ч.4, ст.23 ч.2 п.1 | | 1. | Надлежащее взаимодействие с уполномоченном органом при осуществлении федерального государственного контроля (надзора) в отношении ПД | - 152-ФЗ ст.23.1; ПП-1046 | | 1. | Надлежащее уведомление уполномоченного органа о обработке ПД (о намерении осуществлять обработку ПД) и поддержание этой информации в актуальном состоянии | - 152-ФЗ ст.22 ч.1–3, ч.7; ПП-2526; РКН-180 | | 1. | Надлежащее уведомление уполномоченного органа о намерении осуществлять трансграничную передачу ПД до начала осуществления такой передачи и поддержание этой информации в актуальном состоянии | - 152-ФЗ ст.12 ч.ч.3–4; РКН-128 | | 1. | Своевременное сообщение по запросу уполномоченного органа сведений об оценке допустимости трансграничной передачи ПД до её начала | - 152-ФЗ ст.12 ч.6 | | 1. | Исключение ПД из общедоступных источников по решению суда или иных уполномоченных органов | - 152-ФЗ ст.8 ч.2 | | 1. | Прекращение любым лицом[^17] передачи (распространения, предоставления, доступа) ранее распространенных ПД по решению суда (в указанный судом срок или в течение 3-х рабочих дней) — при несоблюдении этим лицом положений ст.10.1 152-ФЗ | - 152-ФЗ ст.10.1 ч.14 | | 1. | Удаление по решению суда изображения гражданина и (или) информации о частной жизни гражданина, полученных с нарушением закона и содержащихся в документах, видеозаписях или на иных материальных носителях, а также изъятие и уничтожения изготовленных в целях введения в гражданский оборот и находящихся в обороте экземпляров таких материальных носителей | - ГК ст.ст.152.1 ч.2, 152.2 ч.4 | | 1. | Надлежащий прием и исполнение требования/запроса уполномоченного органа об уточнении, блокировании или уничтожении неполных, устаревших, неточных, незаконно полученных, или не нужных из-за достижения цели или иным образом неправомерно обрабатываемых ПД, а также надлежащее уведомление уполномоченного органа о внесенных изменениях и предпринятых мерах в предусмотренных законом случаях | - 152-ФЗ ст.20 ч.4, ст.21 ч.ч.1–3, ст.23 ч.2 п.1 | | 1. | Соблюдение порядка предоставления доступа к информационным системам и (или) базам данных, содержащим ПД сотрудников силовых ведомств и подлежащих государственной защите/охране лиц | - 152-ФЗ ст.6 ч.ч.1.1–1.2; П-245/56/399/85/441 | ## 8.2. Ролевая вовлечённость[^18] | | *Правила* | *ИП* | *ИБ* | *ИТ* | *КБ* | *ПБ* | *БК* | *ВК* | *СП* | *ЛР* | *ВР* | *Комментарии* | |—|—|—|—|—|—|—|—|—|—|—|—|—| | 1. | 8.1.1–8.1.2 | ИО₁ | К | К | К | ИО₂ | К | К | К | К | У | [1] В т.ч. мониторинг включения Оператора в план государственных контрольных (надзорных) и профилактических мероприятий в отношении ПД, а также повышение осведомленности персонала и СП о порядке проведения и содержании указанных мероприятий. [2] В т.ч. (до)судебное обжалование действий и/или решений должностных лиц уполномоченных органов в отношении деятельности Оператора по обработке и защите ПД. [3] Взаимодействие с уполномоченными органами. [4] Обработка обращений, связанных с персоналом. [5] Обработка обращений, связанных с субъектами ПД (кроме персонала). | | 2. | 8.1.3–8.1.5 | ИО | К | — | — | И | К | — | — | — | У | | | 3. | 8.1.6–8.1.9 | ИО₃ | К | К | ИК₄ | ИК₃ | К | — | ИК₅ | — | У | | | 4. | 8.1.10 | ИО | ИК | ИК | К | ИО | К | — | ИК | — | У | | ## 8.3. Документированная информация[^19] | | *Правила* | *Документация, подтверждающая соблюдение правил* | |—|—|—| | 5. | 8.1.1–8.1.2 | - Реестр деятельности в отношении ПД с записями о результатах обработки обращений (запросов, требований), реагирования на решения (предписания) и судебные иски, а также прохождения проверок уполномоченных органов; - Материалы (акты, справки, протоколы и т.п.) по итогам осуществления государственного контроля (надзора); - Уведомление уполномоченного органа об устранении нарушений, выявленных по итогам осуществления государственного контроля (надзора) | | 1. | 8.1.3–8.1.5 | - Уведомление о начале обработки ПД (информационное письмо о внесении изменений в реестре операторов) для предоставления в уполномоченный орган; - Уведомление о намерении осуществлять ТПД для предоставления в уполномоченный орган; - Реестр деятельности в отношении ПД с записями результатов анализа ТПД | | 1. | 8.1.6–8.1.9 | - см. п.8.4 Положения | | 1. | 8.1.10 | - Реестр деятельности в отношении ПД с записями о полученных предписаниях от уполномоченных органов о предоставлении доступа к информационным системам и (или) базам данных, содержащим сведения о лицах, указанных в ч.1.1 и ч.1.2 ст.6 152-ФЗ, а также о фактах доступа к ПД и иной обработки содержащихся в них ПД указанных лиц со стороны уполномоченных органов | ## 8.4. Особенности обработки обращений уполномоченных органов 1. Базовый алгоритм обработки обращений (запросов, требований) уполномоченных органов: 1. прием обращений и их перенаправление на уполномоченных лиц Оператора; 2. принятие решений об обработке обращений (проверка достаточности информации в обращении, оценка законности и мотивированности обращения и т.д.); 3. выполнение обращений; 4. подготовка и отправка ответов на обращения; 5. фиксация результатов обработки обращений и сохранение оригиналов/копий документов и сведений, непосредственно связанных с обработкой обращений. ## 8.5. Связанные документы 2. Иные документы, прямо или косвенно регламентирующие работу с ПД в рассматриваемой области: 1. документы, определяющие деятельность по выстраиванию отношений между Оператором и государственными структурами. — # 9. Осведомленность и обучение персонала, допущенного к обработке ПД ## 9.1. Соблюдаемые правила | | *Правила* | *Нормативные ссылки* | |—|—|—| | 3. | Ознакомление персонала, осуществляющего обработку ПД, с положениями законодательства о ПД, требованиям к защите ПД, политикой и локальными актами Оператора в отношении обработки ПД и (или) обучение указанного персонала | - 152-ФЗ ст.18.1 ч.1 п.6, ст.22.1 ч.4 п.2 | | 1. | Информирование персонала и иных лиц о факте обработке ими ПД без использования средств автоматизации, категориях обрабатываемых ПД, а также об особенностях и правилах осуществления такой обработки | - ПП-687 п.6 | | 1. | Ознакомление под роспись персонала с локальным нормативным актом Оператора, устанавливающим порядок обработки ПД персонала | - ТК ст.86 п.8, ст.88 абз.5 | ## 9.2. Ролевая вовлечённость[^20] | | *Правила* | *ИП* | *ИБ* | *ИТ* | *КБ* | *ПБ* | *БК* | *ВК* | *СП* | *ЛР* | *ВР* | *Комментарии* | |—|—|—|—|—|—|—|—|—|—|—|—|—| | 1. | 9.1.1–9.1.3 | ИО | К | — | ИК₁ | К | К | — | — | И₂ | — | [1] Ознакомление персонала с локальными актами о ПД под подпись при приеме на работу и в других актуальных случаях, а также консультации по организации процесса обучения и возможным форматам обучения. [2] Участие в организации явки персонала для прохождения инструктажа и обучения, непосредственный инструктаж и обучение персонала на отдельных локациях. КБ уведомляет ЛР в случаях, если персонал не был проинструктирован и обучен. | ## 9.3. Документированная информация[^21] | | *Правила* | *Документация, подтверждающая соблюдение правил* | |—|—|—| | 2. | 9.1.1–9.1.3 | - Программа мероприятий и материалы по повышению осведомленности (обучению) персонала по вопросам обработки и защиты ПД; - Журнал(ы) учета инструктажей персонала о правилах обработки и защиты ПД, в т.ч. без использования средств автоматизации [*владельцы — ИП и КБ*]; - см. п.9.5 Положения | ## 9.4. Связанные документы 1. Иные документы, прямо или косвенно регламентирующие работу с ПД в рассматриваемой области: 1. документы, определяющие порядок организации обучения и аттестации. — # 10. Безопасность обработки ПД ## 10.1. Соблюдаемые правила | | *Правила* | *Нормативные ссылки* | |—|—|—| | 2. | Оценка вреда, который может быть причинен субъектам ПД в случае нарушения законодательства о ПД, соотношение указанного вреда и принимаемых оператором мер | - 152-ФЗ ст.18.1 ч.1 п.5; 149-ФЗ ст.16 ч.4 п.3; РКН-178 | | 1. | Принятие необходимых правовых, организационных и технических мер для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий в отношении ПД, в том числе совместная выработка с персоналом и его представителями мер защиты ПД персонала | - 152-ФЗ ст.18.1 ч.1 п.3, ст.19 ч.1; 149-ФЗ ст.16 ч.1 п.1; ТК ст.86 п.п.7, 10 | | 1. | Определение угроз безопасности ПД, которые могут возникнуть при их обработке в ИСПД, а также установление уровней защищенности ПД при их обработке в ИСПД | - 152-ФЗ ст.19 ч.2 п.1; ПП-1119 п.8 | | 1. | Реализация в рамках СЗПД организационных и технических мер по обеспечению безопасности ПД при их обработке в ИСПД (в т.ч. по недопущению несанкционированного доступа/раскрытия ПД и (или) воздействия на технические средства автоматизированной обработки ПД) для выполнения требований к защите ПД в рамках обеспечения установленных уровней защищенности ПД | - 152-ФЗ ст.19 ч.2 п.2; 149-ФЗ ст.16 ч.4 п.п.1, 6; ПП-1119 п.2, п.п.8–12; ФСТЭК-21 п.п.1–3 | | 1. | Применение прошедших в установленном порядке процедуру оценки соответствия СЗИ, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПД и информационных технологий, используемых в ИСПД | - 152-ФЗ ст.19 ч.2 п.3; ПП-1119 п.4, п.13 пп.«г»; ФСТЭК-21 п.4 | | 1. | Уничтожение ПД на машинных носителях ПД в установленных нормативными правовыми актами случаях осуществляется с применением прошедших в установленном порядке процедуру оценки соответствия СЗИ, в составе которых реализована функция уничтожения информации | - 152-ФЗ ст.19 ч.2 п.3.1; ФСТЭК-21 Прил. п.ЗНИ.8 | | 1. | Оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД | - 152-ФЗ ст.19 ч.2 п.4 | | 1. | Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним или иного инцидента | - 152-ФЗ ст.19 ч.2 п.7; 149-ФЗ ст.16 ч.4 п.5 | | 1. | Установление правил доступа к ПД, обрабатываемым в ИСПД, обеспечение регистрации и учета всех совершаемых с ПД действий в ИСПД | - 152-ФЗ ст.19 ч.2 п.8; 149-ФЗ ст.16 ч.4 п.1 | | 1. | Обеспечение сохранности материальных (в том числе машинных) носителей ПД и исключение несанкционированного доступа к носителям ПД | - 149-ФЗ ст.16 ч.4 п.1; ПП-1119 п.13 пп.«б»; ПП-687 п.15 | | 1. | Организация режима безопасности помещений, в которых осуществляется обработка ПД и (или) размещены программно-аппаратные средства, используемые для обработки ПД, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения | - 149-ФЗ ст.16 ч.4 п.4; ПП-1119 п.13 пп.«а» | | 1. | Предоставление доступа к содержанию электронного журнала сообщений ИСПД исключительно для должностных лиц (персонала), которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей | - ПП-1119 п.15 | | 1. | Автоматическая регистрация в электронном журнале безопасности изменений полномочий должностных лиц (персонала) по доступу к ПД, содержащимся в ИСПД | - ПП-1119 п.16 пп.«а» | | 1. | Использование и хранение биометрических ПД вне ИСПД осуществляется на материальных носителях информации и с применением технологий ее хранения, которые обеспечивают защиту ПД | - 152-ФЗ ст.19 ч.10; ПП-512 | | 1. | При обработке биометрических ПД в единой биометрической системе, в том числе в ее региональных сегментах, их взаимодействии с иными информационными системами применяются надлежащие организационные и технические меры по обеспечению безопасности ПД, а также используются шифровальные (криптографические) средства, позволяющие обеспечить безопасность ПД от актуальных угроз | - 152-ФЗ ст.19 ч.4; 572-ФЗ ст.3 ч.ч.5–6, ст.6 ч.ч.2–3, ст.9 ч.2, ст.10 ч.15, ст.14 ч.4, ст.16 ч.3, ст.19; МЦ-446; ЦБ-6541-У | ## 10.2. Ролевая вовлечённость[^22] | | *Правила* | *ИП* | *ИБ* | *ИТ* | *КБ* | *ПБ* | *БК* | *ВК* | *СП* | *ЛР* | *ВР* | *Комментарии* | |—|—|—|—|—|—|—|—|—|—|—|—|—| | 1. | 10.1.1 | ИО | К | — | — | К | К | — | — | — | — | [1] Обеспечение доступности финансовых и иных ресурсов, необходимых и достаточных для организации защиты ПД. | | 2. | 10.1.2 | И | И | У | — | И | К | — | — | — | О₁ | | | 3. | 10.1.3 | К | ИО | К | — | — | К | — | — | — | — | | | 4. | 10.1.4–11.1.7 | К | ИО | К | — | — | К | — | — | — | — | | | 5. | 10.1.8–10.1.9 | К | ИО | И | — | — | — | — | К | К | — | | | 6. | 10.1.10–10.1.11 | КУ | И | — | — | — | И | — | ИО | И | — | | | 7. | 10.1.12 | КУ | И | ИО | — | У | У | — | У | — | У | | ## 10.3. Документированная информация[^23] | | *Правила* | *Документация, подтверждающая соблюдение правил* | |—|—|—| | 8. | 10.1.1 | - Акт оценки вреда, который может быть причинен субъектам ПД в случае нарушения 152-ФЗ; - Отчет о соотношении вреда, который может быть причинен субъектам ПД, и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей согласно 152-ФЗ | | 1. | 10.1.2 | - Приказ о выполнении мероприятий по защите ПД при их обработке в ИСПД [*владельцы — ИП и ИБ*]; - см. п.11.4 Положения | | 1. | 10.1.3 | - Акт определения уровней защищенности ПД в ИСПД [*владельцы — ИП и ИБ*]; - Модель угроз безопасности ПД при их обработке в ИСПД [*владелец — ИБ*]; - см. п.11.4 Положения | | 1. | 10.1.4–10.1.7 | - Техническое задание на создание СЗПД [*владелец — ИБ*]; - Документация технического проекта СЗПД (пояснительная записка к основным техническим решениям СЗПД и спецификация средств защиты ПД) [*владелец — ИБ*]; - Акт ввода в эксплуатацию СЗПД [*владелец — ИБ*]; - см. п.5.4.5 Положения (в отношении уничтожения ПД на машинных носителях); - см. п.11.4 Положения | | 1. | 10.1.8–10.1.9 | - см. п.11.5 Положения; - Локальный акт Оператора о резервном копировании [*владельцы — ИБ и ИТ*] | | 1. | 10.1.10–10.1.11 | - см. п.11.6 Положения | | 1. | 10.1.12 | - см. п.п.11.5.6–11.5.7 Положения | ## 10.4. Обеспечение безопасности ПД при их обработке 1. Принятие необходимых правовых, организационных и технических мер для защиты ПД, в т.ч. применение организационных и технических мер по обеспечению безопасности (защите) ПД при их обработке в ИСПД Оператора, осуществляется Оператором самостоятельно и (или) с привлечением лица, обладающего лицензией на осуществление деятельности по технической защите конфиденциальной информации (ТЗКИ) и (или) на выполнение работ и оказание услуг в области шифрования информации. 2. Оператор обеспечивает выполнение следующих основных мероприятий по обеспечению безопасности ПД при их обработке в каждой ИСПД Оператора: 1. сбор необходимых сведений и определение уровня защищенности ПД при их обработке в ИСПД в соответствии с требованиями 1119-ПП; 2. разработка модели угроз ПД — анализ угроз безопасности ПД, обрабатываемых в ИСПД, выявление актуальных угроз ПД, формирование модели угроз в соответствии с нормативными и методическими документами ФСТЭК России; 3. разработка мер защиты ПД — разработка мер по защите ПД, в том числе мер по устранению выявленных актуальных угроз безопасности ПД, формирование технических заданий на построение СЗПД для ИСПД, а также техническое проектирование СЗПД в соответствии с нормативными и методическими документами ФСТЭК России и ФСБ России; 4. применение мер защиты ПД — создание, ввод в эксплуатацию, эксплуатация и развитие/совершенствование СЗПД, в т.ч. путем внедрения СЗИ, спецификация, параметры, порядок и срок установки/настройки которых определяются согласно техническому проекту СЗПД и решению уполномоченных лиц Оператора. ## 10.5. Доступ к ПД в ИСПД, а также регистрация и учет действий с ПД в ИСПД 3. Управление правами доступа (разграничение доступа) представляет собой совокупность правил, регламентирующих порядок и условия доступа персонала Оператора к ПД в ИСПД. 4. Оператором могут применяться различные модели и политики управления правами доступа — в зависимости от их целесообразности и эффективности. 5. Доступ к ПД в ИСПД предоставляется персоналу Оператора для обработки ПД в связи с исполнением должностных и иных обязанностей/функций. 6. Формирование и назначение персоналу Оператора прав доступа осуществляется с учетом соблюдения принципа предоставления наименьших прав и полномочий, необходимых для выполнения персоналом своих должностных и иных обязанностей/функций. 7. В случае увольнения, перевода на другую должность или изменения обязанностей персонала Оператора, имеющего доступ к ПД в ИСПД, а также изменении организационно-штатной структуры Оператора, осуществляется пересмотр прав доступа. 8. Совершаемые с ПД действия в ИСПД регистрируются и учитываются в электронном журнале сообщений ИСПД: 1. в отношении действий всех пользователей ИСПД; 2. в течении срока, предусмотренного применимым законодательством и локальными актами Оператора. 9. Доступ к содержанию электронного журнала сообщений ИСПД предоставляется исключительно представителям функций ИП, ИБ, ИТ, КБ, ПБ и БК, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных обязанностей. ## 10.6. Обеспечение безопасности помещений и материальных носителей 10. Обеспечение безопасности ПД от уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД достигается, в том числе, установлением правил доступа в помещения, в которых ведется обработка ПД, как с использованием средств автоматизации, так и без использования средств автоматизации. 11. Размещение ИСПД осуществляется в охраняемых помещениях. Для помещений организуется режим обеспечения безопасности, при котором обеспечивается сохранность технических средств, позволяющих осуществлять обработку ПД, материальных носителей ПД и СЗИ, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. 12. При обработке ПД с помощью материальных носителей ПД принимаются организационные (в том числе, охрана соответствующих помещений) и технические меры (в том числе, установка СЗИ, прошедших процедуру оценки соответствия), исключающие возможность несанкционированного доступа к ПД лиц, не допущенных к их обработке. При хранении материальных носителей ПД в помещениях должны соблюдаться условия, обеспечивающие сохранность ПД и исключающие несанкционированный доступ к ним. 13. В помещения, где размещены технические средства, предназначенные для обработки ПД, а также хранятся материальные носители ПД, допускается только персонал Оператора, уполномоченный осуществлять обработку ПД. 14. Нахождение лиц, не уполномоченных осуществлять обработку ПД, в помещениях возможно только в сопровождении и под контролем персонала Оператора на время, ограниченное служебной необходимостью. 15. При обнаружении признаков, указывающих на возможное несанкционированное проникновение в помещения посторонних лиц, о случившемся должно быть немедленно сообщено вышестоящему руководителю и DPO. 16. В целях обеспечения соблюдения требований к ограничению доступа в помещения Оператором обеспечивается: 1. использование помещений строго по назначению; 2. наличие на входах в помещения дверей, оборудованных запорными устройствами; 3. содержание дверей помещений в нерабочее время в состоянии, закрытом на запорное устройство; 4. содержание окон в помещениях в нерабочее время в закрытом состоянии; 5. сдача помещений в нерабочее время под охрану. ## 10.7. Связанные документы 17. Иные документы, прямо или косвенно регламентирующие работу с ПД в рассматриваемой области: 1. документы, определяющие деятельность по защите информации ограниченного доступа («Положение о конфиденциальной информации», «Положение о коммерческой тайне» и т.п.); 2. документы, определяющие деятельность по управлению и обеспечению ИБ. — # 11. Контроль отклонений и реагирование на инциденты ## 11.1. Соблюдаемые правила | | *Правила* | *Нормативные ссылки* | |—|—|—| | 18. | Издание локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства о ПД, устранение последствий таких нарушений | - 152-ФЗ ст.18.1 ч.1 п.2 | | 1. | Осуществление внутреннего контроля и (или) аудита соответствия обработки ПД законодательству о ПД, требованиям к защите ПД, политике и локальным актам оператора в отношении обработки ПД, в т.ч. выявление неправомерной обработки ПД | - 152-ФЗ ст.18.1 ч.1 п.4, ст.21 ч.3, ст.22.1 ч.4 п.1 | | 1. | Осуществление контроля за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности ПД при их обработке в ИСПД | - 152-ФЗ ст.19 ч.2 п.9; ПП-1119 п.17; ФСТЭК-21 п.6 | | 1. | Уведомление РКН об инциденте и уведомление РКН о результатах внутреннего расследования инцидента | - 152-ФЗ ст.21 ч.3.1; РКН-187 | | 1. | Обнаружение фактов несанкционированного доступа к ИСПД и принятие надлежащих мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПД, связанные с обработкой ПД | - 152-ФЗ ст.19 ч.2 п.6; 149-ФЗ ст.16 ч.4 п.2 | | 1. | Взаимодействие с ГосСОПКА и уведомление ФСБ о компьютерных инцидентах | - 152-ФЗ ст.19 ч.12; ФСБ-77 | | 1. | Уведомление Банка России об инцидентах незаконного раскрытия банковской тайны, ПД и (или) иных данных клиентов | - СТО БР БФБО п.6 | ## 11.2. Ролевая вовлечённость[^24] | | *Правила* | *ИП* | *ИБ* | *ИТ* | *КБ* | *ПБ* | *БК* | *ВК* | *СП* | *ЛР* | *ВР* | *Комментарии* | |—|—|—|—|—|—|—|—|—|—|—|—|—| | 1. | 11.1.1–11.1.3 | ИО | К | К | К | К | К | К | И | К | У | [1] Участие в информировании субъектов ПД, контрагентов Оператора и иных заинтересованных лиц об инцидентах, а также подготовка и осуществление публичных заявлений и иных коммуникаций от имени Оператора в отношении инцидентов. | | 2. | 11.1.4–11.1.5 | ИО | И | К | К | И | И | К | И₁ | К | У | | ## 11.3. Документированная информация[^25] | | *Правила* | *Документация, подтверждающая соблюдение правил* | |—|—|—| | 3. | 11.1.1–11.1.3 | - План внутренних проверок состояния организации обработки и обеспечения безопасности ПД; - Отчет о проведении внутренних проверок состояния организации обработки и обеспечения безопасности ПД; - План устранения отклонений и недостатков, их причин и последствий, выявленных в ходе внутренних проверок; - см. п.10.5 Положения | | 1. | 11.1.4–11.1.5 | - План реагирования на инциденты при обнаружении инцидента или при наличии обоснованного предположения, что имел место инцидент; - Реестр деятельности в отношении ПД с записями об инцидентах, включающими сведения о результатах внутреннего расследования инцидентов; - Уведомление уполномоченного органа об инциденте; - Уведомление уполномоченного органа о результатах внутреннего расследования инцидента | ## 11.4. Организация проведения внутренних проверок 1. В целях осуществления внутреннего контроля за соблюдением Оператором применимых норм о ПД, включая нормы законодательства о ПД, регулярно проводятся внутренние проверки состояния организации обработки и обеспечения безопасности ПД, включая контроль выполнения планов реагирования на выявленные риски обработки и защиты ПД (см. п.3.4.4 Положения). 2. Проведение внутренних проверок, а также устранение выявленных отклонений и недостатков, их причин и последствий обеспечивается своевременно и без неоправданных задержек. 3. План внутренних проверок разрабатывается с учетом статуса и важности проверяемых процессов, подлежащих контролю, а также результатов предыдущих проверок. Отбор лиц, осуществляющих проверки, и процедура проверки должны обеспечивать объективность и беспристрастность внутреннего контроля. Проверяющие не должны проводить проверку своей собственной работы. 4. По результатам проведения внутренней проверки составляется соответствующий отчет, содержащий следующие сведения: 1. выявленные отклонения и недостатки; 2. состав и сроки выполнения мероприятий по устранению выявленных отклонений и недостатков, их причин и последствий; 3. перечень ответственных лиц; 4. перечень ожидаемых результатов устранения отклонений и недостатков, их причин и последствий. 5. Контроль выполнения требований к защите ПД при их обработке в ИСПД, предусмотренных Применимыми требованиями, регламентирующими технические и организационные меры защиты ПД, проводится в сроки, определяемые Оператором, но не реже 1 раза в 3 года. ## 11.5. Связанные документы 6. Иные документы, прямо или косвенно регламентирующие работу с ПД в рассматриваемой области: 1. документы, определяющие порядок проведения внутреннего и внешнего аудита. — # 12. Термины, сокращения и аббревиатуры 7. В Положении используются следующие термины, сокращения и аббревиатуры: | *Термин / сокращение* | *Определение* | |—|—| | Автоматизированная обработка | Обработка ПД с использованием средств автоматизации — обработка ПД по заданному алгоритму с помощью средств вычислительной техники, включая ИСПД, информационно-телекоммуникационные сети, АРМ и (или) машиночитаемые носители | | АРМ | Автоматизированное рабочее место — программно-технический комплекс на базе стационарного или мобильного (портативного) персонального компьютера, предназначенный для автоматизации деятельности определенной категории пользователей или определенного вида деятельности | | БД | База данных — представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины | | Биометрические ПД | Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПД | | Блокирование | Временное прекращение обработки ПД, кроме случаев, когда обработка необходима для уточнения ПД | | БР-6541-У | Перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами (утв. указанием Банка России от 25.09.2023 № 6541-У) | | Владелец документированной информации | Функция (лицо или структурное подразделение), самостоятельно или совместно с другими функциями организующая и осуществляющая подготовку, актуализацию, адаптацию под специфическую задачу/ситуацию, хранение и уничтожение документированной информации | | Доверенные государства | Иностранные государства, указанные в актуальной редакции П-128 | | Документированная информация | Зафиксированная на материальном носителе путем документирования или представленная в электронной форме информация в виде, пригодном для восприятия человеком | | Доступ | Раскрытие ПД определенному лицу или определенному кругу лиц без предоставления таким лицам возможности дальнейшей обработки раскрытых ПД | | Дружественные государства | Иностранные государства и территории, не указанные в актуальной редакции РП-430 | | ГК | Гражданский кодекс РФ | | ГосСОПКА | Государственная система обнаружения, предупреждения и ликвидации компьютерных атак | | Запись | Ввод ПД в электронную вычислительную машину (компьютер) или фиксация ПД на материальном носителе | | Зарубежный получатель | Орган власти иностранного государства, иностранное физическое лицо, иностранное юридическое лицо, которому планируется ТПД | | ЗоЗПП | Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей» | | ИБ | Информационная безопасность ПД — состояние защищенности ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД | | Изменение | Модификация значений ПД | | Извлечение | Построение структурированных ПД из неструктурированных или слабоструктурированных машиночитаемых документов | | Использование | Действия с ПД, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПД или иных лиц, либо другим образом затрагивающих права и свободы субъекта ПД или иных лиц | | ИСПД | Информационная система ПД — совокупность содержащихся в базах данных (БД) ПД и обеспечивающих их обработку информационных технологий (ИТ) и технических средств (ТС) | | Инцидент | Любая неправомерная или случайная передача (предоставление, распространение, доступ) ПД, в т.ч. повлекшая нарушение прав субъектов ПД и (или) произошедшая в результате компьютерной атаки | | ИТ | Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов | | КоАП | Кодекс РФ об административных правонарушениях | | Копирование | Действия, направленные на создание одной или нескольких копий имеющихся ПД, то есть перенос ПД на обособленный материальный носитель или перенос ПД в другую базу данных, ИСПД и (или) АРМ — при условии сохранения неизменности первоначальных ПД | | Материальный носитель | Материальный объект, т.е. бумажный или машинный носитель информации (в т.ч. ПД), используемый для закрепления и хранения на нем речевой, звуковой или изобразительной информации, в т.ч. в преобразованном виде | | МЦ | Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации | | МЦ-446 | Перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением организаций финансового рынка, и единой биометрической системы, а также актуальных при взаимодействии информационных систем государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных (утв. приказом Минцифры России от 05.05.2023 № 446) | | МЦ-453 | Порядок обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц (утв. приказом Минцифры России от 12.05.2023 № 453) | | МЦ-1015 | Порядок уничтожения персональных данных, полученных в результате обезличивания, субъектом экспериментального правового режима в сфере цифровых инноваций в случае прекращения статуса субъекта экспериментального правового режима (утв. приказом Минцифры России от 29.09.2021 № 1015) | | МЦ-1024 | Формы подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы, требованиям, определенным в соответствии с подпунктом «е» пункта 1 части 2 статьи 6 Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных» (утв. приказом Минцифры России от 29.11.2023 № 1024) | | Накопление | Формирование исходного, несистематизированного массива ПД | | Неавтоматизированная обработка | Обработка ПД без использования средств автоматизации — осуществление по заданному алгоритму и при непосредственном участии человека поиска, доступа, использования, уточнения, распространения и (или) уничтожения ПД, содержащихся на материальных носителях и (или) в систематизированных собраниях ПД (в т.ч. картотеках, БД ИСПД, электронных файлах на АРМ), в отношении каждого из субъектов ПД[^26] | | Недоверенные государства | Иностранные государства, не указанные в актуальной редакции РКН-128 | | Недружественные государства | Иностранные государства и территории, указанные в актуальной редакции РП-430 | | НКЦКИ | Национальный координационный центр по компьютерным инцидентами | | Обезличивание[^27] | Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту ПД | | Обезличенные ПД | ПД, хранимые в ИСПД в электронном виде, принадлежность которых конкретному субъекту ПД невозможно определить без дополнительной информации | | Обновление | Приведение записанных ПД в соответствие с состоянием отображаемых объектов предметной области | | Обработка | Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, получение, поиск, копирование, сопоставление (сравнение), объединение (связывание), использование, передачу (распространение, предоставление, доступ), включая трансграничную передачу, обезличивание, блокирование, удаление, уничтожение | | Обработчик | Лицо, осуществляющее обработку ПД по поручению оператора | | Общедоступные источники | Создаваемые в целях информационного обеспечения информационные ресурсы (в том числе справочники, адресные книги), в которые включены ПД с письменного согласия субъекта этих ПД | | Объединение (связывание) | Действия по обогащению (слиянию, консолидации, интеграции) массива ПД за счет дополнительных ПД, а также установление взаимосвязей между массивами ПД | | Оператор | ООО «\_\_\_\_\_\_\_\_\_\_\_\_» — самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД | | Оператор ИСПД | Гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации ИСПД, в т.ч. по обработке ПД, содержащихся в ее БД. Если иное не установлено законом, оператором ИСПД является собственник (владелец на ином основании) ТС, используемых для обработки содержащихся в БД ПД, который правомерно пользуется такой БД, или лицо, с которым этот собственник заключил договор об эксплуатации ИСПД | | Оценка ТПД | Проводимая оператором оценка соблюдения зарубежными получателями, которым планируется ТПД, конфиденциальности ПД и обеспечения безопасности ПД при их обработке | | ПД | Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД) | | Передача | Действия, направленные на распространение, предоставление и (или) доступ в отношении ПД | | Персонал | Работники Оператора; внештатный персонал, участвующий в деятельности Оператора и (или) выполняющий трудовую функцию для Оператора; не являющиеся работниками Оператора члены органов управления и контрольных органов Оператора; стажёры (практиканты) Оператора | | Поиск | Действия, позволяющие осуществлять отбор определенных ПД из массива данных | | Политика | Политика Оператора об организации обработки и обеспечении безопасности ПД | | Положение | Положение Оператора об организации обработки и обеспечении безопасности ПД (настоящий документ) | | Получение | Действия, направленные на принятие или формирование ПД, за исключением сбора ПД | | Помещение | Часть объема здания или сооружения, имеющая определенное назначение и ограниченная строительными конструкциями, в которой осуществляется обработка ПД | | П-245/56/399/85/441 | Порядок предоставления доступа к информационным системам и (или) базам данных, содержащим сведения о лицах, указанных в ч.1.1 и ч.1.2 ст.6 152-ФЗ, обработки содержащихся в них ПД указанных лиц и формы предписания о предоставлении доступа (утв. приказом ФСБ России, СВР России, МО России, ФСО России, МВД России от 25.06.2025 № 245/56/399/85/441) | | ПП-6 | Правила принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении (утв. постановлением Правительства РФ от 10.01.2023 № 6) | | ПП-24 | Правила принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан (утв. постановлением Правительства РФ от 16.01.2023 № 24) | | ПП-405 | Правила получения согласия, указанного в пункте 6 части 5 статьи 26 Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», и форма согласия физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы (утв. постановлением Правительства РФ от 17.03.2023 № 405) | | ПП-408 | О видах биометрических персональных данных, на которые распространяется действие Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» (утв. постановлением Правительства РФ от 01.04.2024 № 408) | | ПП-451 | Правила направления оператором регионального сегмента единой биометрической системы, аккредитованным государственным органом, Центральным банком Российской Федерации в случае прохождения им аккредитации, организацией, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, мотивированного запроса оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, и предоставления оператором единой биометрической системы такой информации (утв. постановлением Правительства РФ от 24.03.2023 № 451) | | ПП-478 | Правила представления физическим лицом отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва такого отказа и письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом указанных отказа и отзыва отказа, а также форм указанных отказа, отзыва отказа и письменного подтверждения их представления (утв. постановлением Правительства РФ от 27.03.2023 № 478) | | ПП-512 | Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных (утв. постановлением Правительства РФ от 06.07.2008 № 512) | | ПП-538 | Перечень случаев формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных (утв. постановлением Правительства РФ от 24.04.2025 № 538) | | ПП-687 | Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15.09.2008 № 687) | | ПП-702 | Правила проверки соответствия пользователей государственной информационной системы, определенной в соответствии с частью 2 статьи 13.1 Федерального закона «О персональных данных», требованиям, указанным в части 7 статьи 13.1 Федерального закона «О персональных данных» (утв. постановлением Правительства РФ от 22.05.2025 № 702) | | ПП-733 | Положение о федеральной государственной информационной системе «Единая информационная платформа национальной системы управления данными» (утв. постановлением Правительства РФ ‎от 14.05.2021 № 733) | | ПП-810 | Правила аккредитации организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, оснований ее приостановления и прекращения и признании утратившим силу постановления Правительства Российской Федерации от 20 октября 2021 г. № 1799 (утв. постановлением Правительства РФ от 22.05.2023 № 810) | | ПП-815 | Перечень случаев, при которых аутентификация с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, не допускается, и перечня случаев, при которых допускается использование биометрических персональных данных, согласие физического лица на обработку которых подписано простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладает организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц (утв. постановлением Правительства РФ от 25.05.2023 № 815) | | ПП-883 | Положение о единой биометрической системе, в том числе о ее региональных сегментах, и о признании утратившим силу постановления Правительства Российской Федерации от 16 июня 2022 г. № 1089 (утв. постановлением Правительства РФ от 31.05.2023 № 883) | | ПП-961 | Правила формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных (утв. постановлением Правительства РФ от 26.06.2025 № 961). Правила предоставления доступа к составам персональных данных, полученных в результате обезличивания персональных данных, сгруппированным по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных (утв. постановлением Правительства РФ от 26.06.2025 № 961) | | ПП-966 | Правила взаимодействия федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, с операторами и взаимодействия государственной информационной системы, определенной в соответствии с частью 2 статьи 13.1 Федерального закона «О персональных данных», и информационных систем операторов (утв. постановлением Правительства РФ от 26.06.2025 № 966) | | ПП-1046 | Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных (утв. постановлением Правительства РФ от 29.06.2021 № 1046) | | ПП-1119 | Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 01.11.2012 № 1119) | | ПП-1154 | Требования к обезличиванию персональных данных, методы обезличивания персональных данных и правила обезличивания персональных данных (утв. постановлением Правительства РФ от 01.08.2025 № 1154) | | Предоставление | Раскрытие ПД определенному лицу или определенному кругу лиц | | Распространение | Раскрытие ПД неопределенному (неограниченному) кругу лиц | | Распространяемые ПД | ПД, разрешенные субъектом персональных данных для распространения — ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД путем дачи согласия на обработку ПД, разрешенных субъектом ПД для распространения в порядке, предусмотренном 152-ФЗ | | РКН | Роскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации (уполномоченный орган по защите прав субъектов персональных данных) | | РКН-18 | Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения (утв. приказом РКН от 24.02.2021 № 18) | | РКН-106 | Правила использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядка взаимодействия субъекта персональных данных с оператором (утв. приказом РКН от 21.06.2021 № 106) | | РКН-128 | Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (утв. приказом РКН от 05.08.2022 № 128) | | РКН-140 | Требования к обезличиванию персональных данных и методов обезличивания персональных данных (утв. приказом РКН от 19.06.2025 № 140) | | РКН-178 | Требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»« (утв. приказом РКН от 27.10.2022 № 178) | | РКН-179 | Требования к подтверждению уничтожения персональных данных (утв. приказом РКН от 28.10.2022 № 179) | | РКН-180 | Формы уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных (утв. приказом РКН от 28.10.2022 № 180) | | РКН-187 | Порядок и условия взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных (утв. приказом РКН от 14.11.2022 № 187) | | РП-430 | Перечень иностранных государств и территорий, совершающих недружественные действия в отношении Российской Федерации, российских юридических и физических лиц (утв. распоряжением Правительства РФ от 05.03.2022 № 430-р) | | РФ | Российская Федерация | | Сбор | Действия, направленные на принятие ПД непосредственно от субъекта ПД или его представителя | | СЗИ | Средства защиты информации — технические, программные и программно-аппаратные средства, вещество и/или материал, предназначенные или используемые для защиты информации | | СЗПД | Система защиты персональных данных — совокупность организационных и (или) технических мер, определенных с учетом актуальных угроз безопасности ПД и информационных технологий, используемых в ИСПД | | Систематизация | Расположение ПД в определенной последовательности | | СКЗИ | Средства криптографической защиты информации — аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче | | СОПД | Согласие на обработку ПД — предусмотренный законом акт волеизъявления субъекта ПД, разрешающий оператору обработку ПД субъекта на определённых условиях | | Сопоставление (сравнение) | Действия по поиску и определению соответствия записей, связанных с одним и тем же субъектом ПД, в одном или нескольких массивах ПД | | Специальные категории ПД | Сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, о судимости | | ТК | Трудовой кодекс РФ | | ТПД | Трансграничная передача ПД — передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу | | ТС | Техническое средство — изделие, оборудование, аппаратура или их составные части, функционирование которых основано на законах электротехники, радиотехники и (или) электроники, содержащие электронные компоненты и (или) схемы, которые выполняют одну или несколько следующих функций: усиление, генерирование, преобразование, переключение и запоминание | | Угрозы безопасности ПД | Совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПД, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПД, а также иные неправомерные действия при их обработке в ИСПД | | Удаление | Действия по исключению ПД из ИСПД, АРМ и (или) с материального носителя | | УК | Уголовный кодекс РФ | | Уничтожение | Действия, в результате которых становится невозможным восстановить содержание ПД в ИСПД, на АРМ и (или) на материальном носителе (в т.ч. путем уничтожения самого материального носителя) | | Уровень защищенности ПД | Комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПД при их обработке в ИСПД | | Уточнение | Обновление или изменение ПД | | ФГИС «ЕСИА» | Федеральная государственная информационная система «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» | | ФГИС «НСУД» | Федеральная государственная информационная система «Единая информационная платформа национальной системы управления данными» | | ФСБ | Федеральная служба безопасности Российской Федерации (федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности) | | ФСБ-77 | Порядок взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных (утв. приказом ФСБ от 13.02.2023 № 77) | | ФСБ-378 | Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности (утв. приказом ФСБ от 10.07.2014 № 378) | | ФСБУ 27/2021 | Федеральный стандарт бухгалтерского учета ФСБУ 27/2021 «Документы и документооборот в бухгалтерском учете» (утв. приказом Минфина России от 16.04.2021 № 62н) | | ФСТЭК | Федеральная служба по техническому и экспортному контролю Российской Федерации (федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации) | | ФСТЭК-21 | Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. приказом ФСТЭК от 18.02.2013 № 21) | | Хранение | Процесс передачи ПД во времени, связанный с обеспечением неизменности состояний материального носителя ПД | | DPO | Data Privacy Officer — лицо, ответственное за организацию обработки ПД | | DSO | Data Security Officer — лицо, ответственное за обеспечение безопасности ПД при их обработке в ИСПД | | 38-ФЗ | Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе» | | 41-ФЗ | Федеральный закон от 01.04.2025 № 41-ФЗ «О создании государственной информационной системы противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий, и о внесении изменений в отдельные законодательные акты Российской Федерации» | | 63-ФЗ | Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» | | 99-ФЗ | Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» | | 125-ФЗ | Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» | | 126-ФЗ | Федеральный закон от 07.07.2003 № 126-ФЗ «О связи» | | 149-ФЗ | Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» | | 152-ФЗ | Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» | | 572-ФЗ | Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» | — # Примечания [^1]: См. п.1.2 Положения. [^2]: Более подробно описано в п.9.4 Положения. [^3]: ИП — Информационная приватность (DPO), ИБ — Информационная безопасность (DSO), ИТ — Информационные технологии, КБ — Кадровый блок, ПБ — Правовой блок, БК — Безопасность и комплаенс, ВК — Внешние коммуникации, СП — Структурные подразделения, ЛР — Линейное руководство, ВР — Высшее руководство, И — Исполнитель, О — Ответственный, К — Консультирующий, У — Уведомляемый. Подробное описание указано в п.1.2 Положения. [^4]: Владельцем документированной информации является ИП (DPO), если иное прямо не указанно в отношении конкретного документа. [^5]: ИП — Информационная приватность (DPO), ИБ — Информационная безопасность (DSO), ИТ — Информационные технологии, КБ — Кадровый блок, ПБ — Правовой блок, БК — Безопасность и комплаенс, ВК — Внешние коммуникации, СП — Структурные подразделения, ЛР — Линейное руководство, ВР — Высшее руководство, И — Исполнитель, О — Ответственный, К — Консультирующий, У — Уведомляемый. Подробное описание указано в п.1.2 Положения. [^6]: Владельцем документированной информации является ИП (DPO), если иное прямо не указанно в отношении конкретного документа. [^7]: ИП — Информационная приватность (DPO), ИБ — Информационная безопасность (DSO), ИТ — Информационные технологии, КБ — Кадровый блок, ПБ — Правовой блок, БК — Безопасность и комплаенс, ВК — Внешние коммуникации, СП — Структурные подразделения, ЛР — Линейное руководство, ВР — Высшее руководство, И — Исполнитель, О — Ответственный, К — Консультирующий, У — Уведомляемый. Подробное описание указано в п.1.2 Положения. [^8]: Владельцем документированной информации является ИП (DPO), если иное прямо не указанно в отношении конкретного документа. [^9]: Комплекс алгоритмов, программ и сервисов, задача которого предсказать (угадать, спрогнозировать), что с определённой вероятностью может заинтересовать того или иного пользователя Интернет-ресурса. [^10]: ИП — Информационная приватность (DPO), ИБ — Информационная безопасность (DSO), ИТ — Информационные технологии, КБ — Кадровый блок, ПБ — Правовой блок, БК — Безопасность и комплаенс, ВК — Внешние коммуникации, СП — Структурные подразделения, ЛР — Линейное руководство, ВР — Высшее руководство, И — Исполнитель, О — Ответственный, К — Консультирующий, У — Уведомляемый. Подробное описание указано в п.1.2 Положения. [^11]: Владельцем документированной информации является ИП (DPO), если иное прямо не указанно в отношении конкретного документа. [^12]: Включая внешние жесткие и гибкие магнитные диски, твердотельные и флеш-накопители, карты флеш-памяти, оптические носители, магнитные ленты. [^13]: ИП — Информационная приватность (DPO), ИБ — Информационная безопасность (DSO), ИТ — Информационные технологии, КБ — Кадровый блок, ПБ — Правовой блок, БК — Безопасность и комплаенс, ВК — Внешние коммуникации, СП — Структурные подразделения, ЛР — Линейное руководство, ВР — Высшее руководство, И — Исполнитель, О — Ответственный, К — Консультирующий, У — Уведомляемый. Подробное описание указано в п.1.2 Положения. [^14]: Владельцем документированной информации является ИП (DPO), если иное прямо не указанно в отношении конкретного документа. [^15]: ИП — Информационная приватность (DPO), ИБ — Информационная безопасность (DSO), ИТ — Информационные технологии, КБ — Кадровый блок, ПБ — Правовой блок, БК — Безопасность и комплаенс, ВК — Внешние коммуникации, СП — Структурные подразделения, ЛР — Линейное руководство, ВР — Высшее руководство, И — Исполнитель, О — Ответственный, К — Консультирующий, У — Уведомляемый. Подробное описание указано в п.1.2 Положения. [^16]: Владельцем документированной информации является ИП (DPO), если иное прямо не указанно в отношении конкретного документа. [^17]: Т.е. не оператором, первоначально получившим согласие субъекта на распространение его ПД. [^18]: ИП — Информационная приватность (DPO), ИБ — Информационная безопасность (DSO), ИТ — Информационные технологии, КБ — Кадровый блок, ПБ — Правовой блок, БК — Безопасность и комплаенс, ВК — Внешние коммуникации, СП — Структурные подразделения, ЛР — Линейное руководство, ВР — Высшее руководство, И — Исполнитель, О — Ответственный, К — Консультирующий, У — Уведомляемый. Подробное описание указано в п.1.2 Положения. [^19]: Владельцем документированной информации является ИП (DPO), если иное прямо не указанно в отношении конкретного документа. [^20]: ИП — Информационная приватность (DPO), ИБ — Информационная безопасность (DSO), ИТ — Информационные технологии, КБ — Кадровый блок, ПБ — Правовой блок, БК — Безопасность и комплаенс, ВК — Внешние коммуникации, СП — Структурные подразделения, ЛР — Линейное руководство, ВР — Высшее руководство, И — Исполнитель, О — Ответственный, К — Консультирующий, У — Уведомляемый. Подробное описание указано в п.1.2 Положения. [^21]: Владельцем документированной информации является ИП (DPO), если иное прямо не указанно в отношении конкретного документа. [^22]: ИП — Информационная приватность (DPO), ИБ — Информационная безопасность (DSO), ИТ — Информационные технологии, КБ — Кадровый блок, ПБ — Правовой блок, БК — Безопасность и комплаенс, ВК — Внешние коммуникации, СП — Структурные подразделения, ЛР — Линейное руководство, ВР — Высшее руководство, И — Исполнитель, О — Ответственный, К — Консультирующий, У — Уведомляемый. Подробное описание указано в п.1.2 Положения. [^23]: Владельцем документированной информации является ИП (DPO), если иное прямо не указанно в отношении конкретного документа. [^24]: ИП — Информационная приватность (DPO), ИБ — Информационная безопасность (DSO), ИТ — Информационные технологии, КБ — Кадровый блок, ПБ — Правовой блок, БК — Безопасность и комплаенс, ВК — Внешние коммуникации, СП — Структурные подразделения, ЛР — Линейное руководство, ВР — Высшее руководство, И — Исполнитель, О — Ответственный, К — Консультирующий, У — Уведомляемый. Подробное описание указано в п.1.2 Положения. [^25]: Владельцем документированной информации является ИП (DPO), если иное прямо не указанно в отношении конкретного документа. [^26]: Обработка ПД не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПД содержатся в ИСПД либо были извлечены из нее. [^27]: Иначе говоря, речь идет об обратимой деидентификации/деперсонификации/деперсонализации ПД (псевдонимизация). Вне правового поля РФ находится необратимая деидентификация/деперсонификация/деперсонализация (анонимизация, санитизация) — действия, в результате которых невозможно определить принадлежность данных конкретному субъекту), реидентификация/реперсонификация/реперсонализация (деобезличивание**) — действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту, т.е. становятся ПД.