Часто задаваемые вопросы

Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, субъекту ПДн (ст. 3 Федерального закона № 152-ФЗ «О персональных данных»).

Пример: совокупность фамилии, имени, отчества и сведений о месте работы уже является ПДн.

В соответствии с ч. 1 ст. 11 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года к биометрическим персональным данным (далее – ПДн) относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.  

Поскольку с недавних пор Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим ПДн и особенности их обработки» утратили силу, наши эксперты направляли соответствующий запрос в адрес Роскомнадзора. При отнесении данных к биометрическим ПДн регулятор рекомендуем руководствоваться законодательной и правоприменительной практикой.

Например, цветное цифровое фотографическое изображение лица владельца документа является биометрическими ПДн владельца документа в соответствии с п. 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утверждённого постановлением Правительства Российской Федерации от 04.03.2010 № 125.

Также регулятор отмечает, что ПДн можно отнести к биометрическим в случае соответствия формата записи изображения лица формату, заложенному Национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013, утверждённым приказом Федерального агентства по техническому регулированию и метрологии Российской Федерации от 06 сентября 2013 года № 987-ст.

Также на своих многочисленных вебинарах представители регулятора отмечают, что ПДн являются биометрическими в случае, если осуществляется идентификация/аутентификация субъектов ПДн. Так, например, потоковая видеозапись, не предусматривающая идентификацию/аутентификацию не является биометрическими ПДн и подчиняется общим правилам обработки ПДн. Однако, если видеозапись предполагает идентификацию/аутентификацию, установление личности человека, то в этом случае она относится к сфере обработки биометрических ПДн. 

Ярким примером операторов, обрабатывающих биометрические ПДн, являются органы, осуществляющие оперативно-розыскную деятельность, и использующие сведения, характеризующие физиологические и биологические особенности человека, для установления личности субъекта ПДн.

Таким образом, полагаем, ПДн будут считаться биометрическими при выполнении одного из следующих условий:
•  сведения характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн (осуществляется идентификация/аутентификация субъектов ПДн);
•  имеются положения законодательства Российской Федерации, прямо указывающие, что данные сведения могут быть отнесены к биометрическим ПДн;
•  формат записи изображения лица соответствует формату, заложенному Национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013.

Обращаем Ваше внимание, что оценка отнесения сведений к биометрическим ПДн осуществляется в каждом конкретном случае с учетом фактических обстоятельств, а также требований законодательства Российской Федерации.

К специальным относятся ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни (ч. 1 ст. 10 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года).

Под обработкой ПДн подразумевается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн (ст. 3 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года).

Оператор ПДн – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн (ст.3 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года).

Пример: любая организация становится оператором персональных данных и обязана выполнять требования законодательства в сфере персональных данных с момента, как только начинает обрабатывать персональные данные сотрудников (заключает трудовые договоры или собирает сведения о кандидатах на вакантное место), оказывает услуги клиентам/населению и т.д.

К основным нормативно-правовым актам, регулирующим процессы обработки и защиты ПДн относятся:

• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

• Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

• Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

• Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

C полным списком нормативно-правовых актов, регулирующих процессы обработки и защиты ПДн, Вы можете ознакомиться в разделе Нормативно-правовая база.

С 1 сентября 2022 года вступили в силу изменения в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ-152), связанные с уведомлениями, которые оператору необходимо направлять в адрес Роскомнадзора.

С момента вступления изменений в силу перечень обязательных уведомлений увеличился, теперь операторы должны уведомлять Роскомнадзор:

• о намерении осуществлять обработку ПДн;
• об изменении сведений, указанных в направленном ранее уведомлении о намерении осуществлять обработку ПДн;
• о прекращении обработки ПДн;
• о намерении осуществлять трансграничную передачу ПДн;
• о факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн.

Подробно о видах уведомлений, которые оператор обязан направлять в адрес Роскомнадзора, Вы можете ознакомится в методическом материале, разработанном экспертами ООО «НПЦ «КСБ» специально для пользователей ПК «АльфаДок».

Уведомление об обработке (о намерении осуществлять обработку) ПДн – это документ установленной формы, который необходимо отправить в территориальный орган Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по месту регистрации оператора. Данная обязанность установлена ч. 1 ст. 22 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года. 

Подать Уведомление в территориальное управление Роскомнадзора можно несколькими способами:

• заполнить форму Уведомления на сайте Роскомнадзора, распечатать его на фирменном бланке организации и отправить в свое территориальное Управление;
• заполнить форму Уведомления на сайте Роскомнадзора, подписать ее электронной подписью и направить в территориальное управление в электронном виде;
• пройти аутентификацию на портале Госуслуг, заполнить форму и направить ее в электронном виде.

Решение о включении организации в реестр операторов будет принято в течение 30 дней после даты поступления уведомления в территориальный орган Управления Роскомнадзора одним из перечисленных способов.

Подробно о видах уведомлений, которые оператор обязан направлять в адрес Роскомнадзора, Вы можете ознакомится в методическом материале, разработанном экспертами ООО «НПЦ «КСБ» специально для пользователей ПК «АльфаДок»

Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн – это документ установленной формы, который необходимо отправить в территориальное управление Роскомнадзора в случае изменения данных, указанных в отправленном ранее Уведомлении об обработке (о намерении осуществлять обработку) ПДн. 

Отправить Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн в территориальное управление Роскомнадзора можно несколькими способами:

• заполнить форму на сайте Роскомнадзора, распечатать и отправить ее в территориальный орган;
• заполнить форму на сайте Роскомнадзора, подписать ее электронной подписью и направить в территориальное управление в электронном виде;
• пройти аутентификацию на портале Госуслуг, заполнить форму и направить ее в электронном виде.

В случае изменения сведений, указанных в Уведомлении об обработке (намерении осуществлять обработку) ПДн, оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов ПДн не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения (ч. 7 ст. 22 ФЗ-152 «О персональных данных»).

Срок рассмотрения Уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн, исчисляется со дня его регистрации в территориальном управлении Роскомнадзора. Изменения в сведения об Операторе вносятся в Реестр не позднее 30 дней с даты регистрации Уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн.

Подробно о видах уведомлений, которые оператор обязан направлять в адрес Роскомнадзора, Вы можете ознакомится в методическом материале, разработанном экспертами ООО «НПЦ «КСБ» специально для пользователей ПК «АльфаДок»

Регуляторами в сфере обработки и защиты ПДн являются:

• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – уполномоченный орган по защите прав субъектов ПДн, осуществляющий контроль и надзор за соответствием обработки ПДн требованиям законодательства Российской Федерации в области ПДн;
• Федеральная служба безопасности (ФСБ России) – орган, осуществляющий контроль и надзор за организационными и техническими мерами защиты ПДн, связанными с применением средств криптографической защиты информации;
• Федеральная служба по техническому и экспортному контролю (ФСТЭК России) – орган, осуществляющий контроль и надзор по вопросам технической защиты ПДн.

Ежегодно в конце декабря территориальные управления Роскомнадзора публикуют на своих официальных сайтах план проведения плановых контрольных (надзорных) мероприятий, согласованный с органами прокуратуры. Проверить, попала ли Ваша организация в такой план на очередной год, можно на официальном сайте управления Роскомнадзора Вашего региона, либо на главной странице ПК «АльфаДок»:

Регулятор уведомляет организацию о проверке за 24 часа до ее начала путем направления копии приказа о проверке (как правило, по электронной почте).

В случае, если территориальные управления Роскомнадзора опубликовали планы проверок на год, сотрудники Службы поддержки ПК «АльфаДок» уведомляют действующих пользователей ПК «АльфаДок» о предстоящем плановом контрольно-надзорном мероприятии за 1-2 месяца. Также Вы сможете самостоятельно отслеживать наличие ближайших проверок в разделе «Панель управления» (виджет «Проверки регуляторов»).   

В целом процесс подготовки к проверке состоит из следующих шагов:

1. Проведение внутреннего аудита для анализа процессов обработки ПДн в организации.
В рамках аудита необходимо определить:

• перечень информационных систем, в которых обрабатываются ПДн (ИСПДн «Кадровый учет», ИСПДн «Бухгалтерский учет» и т.д.);
• цели обработки ПДн (например, для медицинских организаций основными целями являются выполнение требований законодательства в сфере здравоохранения и оказание медицинских услуг населению);
• категории обрабатываемых в организации ПДн (например, ФИО, дата рождения, адрес, фотографии, семейное положение, место работы, сведения о состоянии здоровья и т.д.);
• категории субъектов, ПДн которых обрабатываются в организации (сотрудники, клиенты, граждане).

2. Назначение лиц, ответственных за организацию обработки и за обеспечение безопасности ПДн.
Необходимо назначить ответственного за организацию обработки ПДн, как правило, это сотрудник из числа руководящего состава организации (директор или заместитель директора) или сотрудник отдела кадров. В качестве ответственного за обеспечение безопасности ПДн обычно назначают технического специалиста.

3. Разработка и утверждение необходимой документации.
ФЗ-152 «О персональных данных» от 27 июля 2006 года не регламентирует наименования документов, но определяет, какие процессы по обработке ПДн должны быть оформлены документально. Разрабатываемый в ПК «АльфаДок» пакет документов по защите ПДн включает в себя более 20 документов (с перечнем документов можно ознакомиться в разделе «Нормативно-правовая база»). Пакет документов обязательно должен включать в себя Политику в отношении обработки ПДн.

4. Подача уведомления о намерении осуществлять обработку персональных данных в Роскомнадзор.
Уведомление об обработке ПДн можно отправить в электронном виде с сайта Роскомнадзора. Распечатанную электронную форму необходимо направить по почте в Управление Роскомнадзора Вашего региона. В течение 30 дней организация будет внесена в реестр операторов ПДн. В случае изменений необходимо обязательно уведомить Роскомнадзор, подав Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн, с перечнем изменений.

Подробно о видах уведомлений, которые оператор обязан направлять в адрес Роскомнадзора, Вы можете ознакомится в методическом материале, разработанном экспертами ООО «НПЦ «КСБ» специально для пользователей ПК «АльфаДок»

Более подробно о видах государственного контроля и о том, как выполнить требования законодательства в сфере защиты ПДн и подготовиться к проверке Роскомнадзора, эксперты ПК «АльфаДок» рассказали в следующем материале.

Внеплановые контрольные (надзорные) мероприятия, за исключением внеплановых контрольных (надзорных) мероприятий без взаимодействия, проводятся по основаниям, предусмотренным п. 1, 3-6 ч. 1 и ч. 3 ст. 57 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».

Внеплановые проверки могут проводиться по следующим основаниям:

• наличие у Роскомнадзора сведений о причинении вреда (ущерба) или об угрозе причинения вреда (ущерба) охраняемым законом ценностям либо выявление соответствия объекта контроля параметрам, утвержденным индикаторами риска нарушения обязательных требований, или отклонения объекта контроля от таких параметров.

• поручение Президента Российской Федерации, поручение Правительства Российской Федерации о проведении контрольных (надзорных) мероприятий в отношении конкретных контролируемых лиц;
• требование прокурора о проведении контрольного (надзорного) мероприятия в рамках надзора за исполнением законов, соблюдением прав и свобод человека и гражданина по поступившим в органы прокуратуры материалам и обращениям;
• истечение срока исполнения решения Роскомнадзора об устранении выявленного нарушения (предписания);
• наступление события, указанного в программе проверок, если федеральным законом о виде контроля установлено, что контрольные (надзорные) мероприятия проводятся на основании программы проверок.

Возможно проведение внеплановой выездной проверки, внепланового инспекционного визита в случае поступления от контролируемого лица в Роскомнадзор информации об устранении выявленных нарушений обязательных требований. Предмет такой внеплановой выездной проверки и такого внепланового инспекционного визита ограничивается оценкой устранения нарушений обязательных требований, выявленных в рамках процедур периодического подтверждения соответствия (компетентности).

Организация проведения внеплановых контрольных (надзорных) мероприятий осуществляется в соответствии с положениями ст. 66 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».

Лица, виновные в нарушении требований Федерального закона, несут предусмотренную законодательством РФ ответственность, а именно: дисциплинарную, гражданско-правовую, административную, уголовную и иную ответственность.

Подробно размер и характер санкций за нарушение требований Федерального закона приведены в следующем материале.

Законодательство не определяет, кто из должностных лиц может быть назначен ответственным за организацию обработки ПДн.

В соответствии с ч. 2 ст. 22.1 Федерального закона «О персональных данных» от 27 июля 2006 года ответственный за организацию обработки получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему, к тому же на данного ответственного возлагаются функции по организации обработки ПДн, поэтому рекомендуется назначать работника из числа руководящего состава (например, заместителя руководителя), так как именно ему легче всего организовать обработку ПДн, а также делегировать часть возложенных функций.

Однако следует учесть, что это не является обязательным требованием. Исходя из нашей практики, ответственным за организацию обработки ПДн довольно часто назначают работника отдела кадров.

Эксперты ООО «НПЦ «КСБ» специально для пользователей ПК «АльфаДок» разработали методический материал по назначению ответственных лиц в ПК «АльфаДок».

Обработка специальных категорий ПДн (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) без согласия субъекта или его законного представителя допускается в случаях, перечисленных в ч. 2 ст.10 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года.

Обработка биометрических ПДн (отпечатки пальцев, сетчатка глаза и т.д.) может осуществляться без согласия субъекта ПДн в случаях, указанных в ч. 2, ст. 11 Федерального закона № 152-ФЗ «О персональных данных».

Обработка иных категорий ПДн без согласия субъекта или его законного представителя допустима в случаях, указанных в ч.1 ст. 6 Федерального закона № 152-ФЗ «О персональных данных». А именно:

• обработка ПДн необходима для выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
• обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
• обработка ПДн необходима для оказания государственных и муниципальных услуг;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
• обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
• обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
• обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;
• обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона № 152-ФЗ «О персональных данных», при условии обязательного обезличивания ПДн;
• осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

В соответствии с ч. 3 ст. 6 Федерального закона 152-ФЗ «О персональных данных» от 27 июля 2006 года оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора).

Пример: передача ПДн работника организации в кредитно-финансовые учреждения в целях начисления заработной платы относится к поручению обработки ПДн.

Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных», соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных данным Федеральным законом.

В поручении оператора должны быть определены:

• перечень ПДн;
• перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн;
• цели их обработки;
• требования к защите обрабатываемых ПДн в соответствии со ст. 19 Федерального закона 152-ФЗ «О персональных данных», в том числе требование об уведомлении оператора о случаях, предусмотренных ч.3.1 ст. 21 Федерального закона 152-ФЗ «О персональных данных».

Также в поручении должны быть установлены обязанности лица, осуществляющего обработку ПДн по поручению оператора:

• соблюдать конфиденциальность ПДн;
• соблюдать требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных»;
• по запросу оператора ПДн в течение срока действия поручения оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии со ст. 6 Федерального закона 152-ФЗ «О персональных данных»;
• обеспечивать безопасность ПДн при их обработке.

Под уничтожением ПДн, согласно п. 8 ст. 3 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года, понимаются действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

Порядок документальной фиксации уничтожения ПДн субъекта определяется оператором ПДн самостоятельно. Уничтожение ПДн субъекта осуществляется созданной оператором комиссией либо иным должностным лицом, назначенным оператором.

В случае если обработка ПДн осуществляется оператором без использования средств автоматизации, документом, подтверждающим уничтожение ПДн субъектов ПДн, является акт об уничтожении ПДн. В случае если обработка ПДн осуществляется с использованием средств автоматизации, документами, подтверждающими уничтожение ПДн субъектов ПДн, являются акт об уничтожении ПДн, соответствующий требованиям, содержащимся в пп. 3 и 4 Требований к подтверждению уничтожения ПДн, утв. Приказом Роскомнадзора от 28.09.2022 N 179, и выгрузка из журнала регистрации событий в ИСПДн.

Типовая форма акта, соответствующая Требованиям к подтверждению уничтожения ПДн, утв. Приказом Роскомнадзора от 28.09.2022 N 179, приведена в Правилах по уничтожению ПДн (Правила являются приложением к приказу/ распоряжению/ постановлению «Об уничтожении ПДн»).

По общему правилу, ПДн подлежат уничтожению в случаях: достижения целей обработки или утраты необходимости в достижении этих целей; выявления неправомерной обработки ПДн при невозможности обеспечить правомерность обработки; отзыва субъектом ПДн согласия на их обработку. При этом, если оператор не может в установленные сроки (10 дней – для случаев неправомерной обработки и 30 дней – в остальных случаях) уничтожить ПДн, то он должен осуществить их блокирование, а затем – в течение полугода обеспечить уничтожение (ст. 21 Федерального закона «О персональных данных»).

В соответствии с ч. 3 ст. 10 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года обработка ПДн о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами. Также обработка сведений о судимости допускается в случае, если субъект ПДн предоставил согласие в письменной форме на их обработку (п. 1 ч. 2. ст. 10 Федерального закона № 152-ФЗ «О персональных данных»).

Согласно Федеральному закону № 79-ФЗ и Указу Президента № 609 к личным делам приобщаются копии паспортов, страховых свидетельств, копии актов гражданского состояния и иных персональных данных.

Роскомнадзор считает нарушением сбор лишних персональных данных, даже если работник дал на это согласие. Но в отношении государственных гражданских служащих хранение копии паспорта в личном деле прямо предусмотрено законом (п. 16 Положения, утвержденного Указом Президента РФ от 30 мая 2005 г. № 609). Таким образом, запрет на хранение копии паспорта в личном деле не распространяется на государственных гражданских служащих.

Исходя из сказанного, во избежание штрафов рекомендуется не хранить копии паспорта в личных делах работников, не относящихся к государственным гражданским служащим или иным категориям работников, хранение копий паспортов которых в личных делах предусмотрено законом.

Снимайте копии с документов, только если это необходимо, чтобы предоставить сотруднику гарантии и компенсации (пособия, путевки и пр). И храните копии, пока не достигли цели, для которой их снимали. Проверьте личные дела сотрудников. Если в них есть копии документов, которые вам уже не нужны, уничтожьте их. Например, в деле осталась копия справки о рождении ребенка, а пособия уже выплатили. Составьте акт об уничтожении справки и избавьтесь от нее (информация Роскомнадзора от 25 сентября 2015 г.). Будущие копии уничтожайте в течение 30 дней с даты, когда достигли цели обработки данных (ч. 4 ст. 21 Закона N 152-ФЗ). Порядок уничтожения нигде не прописан. Вы можете установить его самостоятельно.

В законодательстве нет прямых требований по хранению бумажных носителей ПДн в личных делах или в сейфах отдельно. Вы можете хранить согласия как в личных делах работников, так и отдельно. Места хранения документов Оператор определяет самостоятельно.

Однако, обратите внимание, сроки хранения личных дел (50/75 лет) и срок хранения согласий на обработку ПДн (3 года после истечения срока действия согласия или его отзыва, если иное не предусмотрено федеральным законом, договором) согласно Перечню типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденному приказом Росархива № 236 от 20.12.2019, как правило, не совпадают. Поэтому рекомендуем хранить согласия на обработку ПДн отдельно от личных дел. 

Также согласно п. 15 постановления Правительства РФ № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ.

Если в помещения, где организовано хранение согласий на бумажных носителях ПДн, имеют доступ лица, не имеющие права доступа к этим ПДн, то рекомендуется хранить бумажные носители ПДн в запираемых шкафах/ящиках/сейфах, т.е. в любом удобном Оператору месте, исключающем несанкционированный доступ к этим материальным бумажным носителям. 

Также необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях. В случае с согласиями на обработку ПДн, цель хранения согласий на обработку ПДн совпадает.

ПДн, разрешенные субъектом ПДн для распространения – это ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, в порядке, предусмотренном Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Согласие по данной форме необходимо получать в письменном виде у субъектов ПДн или их законных представителей в случае, если их ПДн планируется опубликовать на сайте. В случае распространения ПДн Оператор обязан получить с субъектов ПДн отдельное согласие (ч. 1 ст. 10.1). Требования к содержанию такого согласия были утверждены приказом Роскомнадзора от 24 февраля 2021 г. № 18 и вступили в силу 1 сентября 2021 г.

Согласие на распространение ПДн необходимо получать в письменном виде у субъектов ПДн или их законных представителей в случаях, если планируется предоставить к ПДн доступ неограниченному кругу лиц. Например, организация планирует опубликовать ПДн сотрудников на сайте.

Не нужно получать согласие по данной форме в 2 случаях:
1) если ПДн распространяются только в целях выполнения возложенных законодательством Российской Федерации на государственные органы, муниципальные органы, а также на подведомственные таким органам организации функций, полномочий и обязанностей (ч. 15 ст. 10.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»);

Пример. Государственные органы и органы местного самоуправления обязаны обеспечить доступ к информации о доходах, расходах, об имуществе и обязательствах имущественного характера государственных/муниципальных служащих и их членов семьи (Федеральный закон от 25.12.2008 № 273-ФЗ «О противодействии коррупции»).

2) если доступ неограниченному кругу лиц к ПДн субъекта был предоставлен до 1 сентября 2021 года и у Оператора есть доказательства, подтверждающие данный факт (например, дата публикации ПДн на официальном сайте). Однако в этом случае рекомендуем иметь «под рукой» согласия субъекта ПДн на обработку ПДн и включение его ПДн в общедоступные источники.

Обратите внимание! Специально для пользователей ПК «АльфаДок» эксперты ООО «НПЦ «КСБ» разработали Методические рекомендации по заполнению типовой формы согласия субъекта ПДн на обработку ПДн, разрешенных субъектом ПДн для распространения.

Оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» необходимо проводить в соответствии с Требованиями к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», утвержденными Приказом Роскомнадзора от 27 октября 2022 г. № 178.

Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», осуществляется ответственным за организацию обработки персональных данных либо комиссией, образуемой оператором.

Оператор для целей оценки вреда определяет одну из степеней вреда (высокую, среднюю или низкую), который может быть причинен субъекту персональных данных в случае нарушения Закона о персональных данных, с учетом применимости/неприменимости случаев, перечисленных в Приказе Роскомнадзора от 27 октября 2022 г. № 178.

Результаты оценки вреда оформляются актом оценки вреда. Акт оценки вреда должен содержать сведения, указанные в ч. 4 Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».

Изначально личное дело включает в себя документы, сопровождающие процедуру оформления приема на гражданскую службу, так как оно заводится сразу же после издания приказа о назначении на должность гражданской службы. В процессе прохождения службы личное дело пополняется другими документами.

Перечень документов, которые могут входить в личное дело гражданского служащего (п. 16 Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента РФ № 609 от 30 мая 2005 года):

1. Письменное заявление о поступлении на гражданскую службу.
2. Собственноручно заполненная и подписанная гражданином анкета с приложением фотографии.
3. Документы о прохождении конкурса на замещение вакантной должности гражданской службы.
4. Копия паспорта и копии свидетельств о госрегистрации актов гражданского состояния.
5. Копия трудовой книжки или документа, подтверждающего прохождение военной или иной службы.
6. Копии документов об образовании и о квалификации, а также документов о квалификации, которые подтверждают повышение или присвоение квалификации по результатам дополнительного профобразования, документов о присвоении ученой степени, ученого звания.
7. Копии решений о награждении государственными наградами, почетной грамотой Президента РФ, об объявлении благодарности Президента РФ, присвоении почетных, воинских и специальных званий, присуждении государственных премий.
8. Копия акта государственного органа о назначении на должность гражданской службы.
9. Экземпляр служебного контракта, а также экземпляры дополнительных соглашений об изменении или дополнении служебного контракта.
10. Копии актов государственного органа о переводе гражданского служащего на иную должность гражданской службы, о временном замещении им этой должности.
11. Копии документов воинского учета.
12. Копия акта государственного органа об освобождении гражданского служащего от замещаемой должности, о прекращении служебного контракта или его приостановлении.
13. Аттестационный лист гражданского служащего, прошедшего аттестацию, и отзыв об исполнении им должностных обязанностей за аттестационный период.
14. Экзаменационный лист гражданского служащего и отзыв об уровне его знаний, навыков и умений (профессиональном уровне) и о возможности присвоения ему классного чина государственной гражданской службы.
15. Копии документов о присвоении гражданскому служащему классного чина гражданской службы (или иного классного чина, квалификационного разряда, дипломатического ранга).
16. Копии документов о включении гражданского служащего в кадровый резерв, а также об исключении его из кадрового резерва.
17. Копии решений о поощрении, а также о наложении на гражданского служащего дисциплинарного взыскания до его снятия или отмены.
18. Копии документов о начале служебной проверки, ее результатах, об отстранении от замещаемой должности.
19. Документы, связанные с оформлением допуска к сведениям, составляющим государственную или иную тайну (если исполнение обязанностей по замещаемой должности гражданской службы связано с использованием таких сведений).
20. Сведения о доходах, имуществе и обязательствах имущественного характера гражданского служащего.
21. Копия страхового свидетельства обязательного пенсионного страхования.
22. Копия свидетельства о постановке физического лица на учет в налоговом органе по местожительству на территории России (ИНН).
23. Копия страхового медицинского полиса обязательного медицинского страхования.
24. Медицинское заключение установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на гражданскую службу или ее прохождению.
25. Справки о результатах проверки достоверности и полноты представленных гражданским служащим сведений о доходах, имуществе и обязательствах имущественного характера, а также сведений о соблюдении гражданским служащим ограничений, установленных федеральными законами. Указанные справки составляются кадровой службой.

Кроме того, в личное дело вносятся письменные объяснения гражданского служащего (если такие объяснения даны им после ознакомления с документами своего личного дела), а также иные документы, предусмотренные федеральными законами и иными нормативно-правовыми актами (п. 16 и п. 17 Положения, утвержденного Указом Президента РФ № 609). Представитель нанимателя не вправе приобщать к личному делу гражданского служащего не установленные федеральными законами персональные данные (п. 3 ч. 1 ст. 42 Закона № 79-ФЗ «О государственной гражданской службе Российской Федерации» от 27 июля 2004 года). Например:

• о его политических, религиозных и иных убеждениях;
• частной жизни;
• членстве в общественных объединениях (в т. ч. в профессиональных союзах).

Государственные информационные системы (ГИС) – федеральные информационные системы и региональные информационные системы (РИС), созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. Основные признаки ГИС:

• информационная система создана в целях реализации государственных функций и обязанностей (в том числе оказания государственных услуг);
• создана за счет государственных/муниципальных средств;
• создана на основании решения государственного органа.

К основным нормативным правовым актам, регулирующим процессы обработки и защиты информации (за исключением ПДн), содержащейся в государственных информационных системах и не относящейся к государственной тайне, относятся:

• Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года;
• Приказ ФСТЭК России № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11 февраля 2013 года;
• и др., связанные с вышеуказанными, нормативные правовые акты. 

C полным списком нормативных правовых актов, регулирующих процессы обработки и защиты информации, Вы можете ознакомиться в разделе «Нормативно-правовая база».

Регуляторами в сфере обработки и защиты информации, не относящейся к государственной тайне, являются:

• Федеральная служба безопасности (ФСБ России) – орган, осуществляющий контроль и надзор за организационными и техническими мерами защиты информации, связанными с применением средств криптографической защиты информации;
• Федеральная служба по техническому и экспортному контролю (ФСТЭК России) – орган, осуществляющий контроль и надзор по вопросам технической защиты информации.

Несоблюдение требований законодательства в сфере защиты информации (ФСБ России, ФСТЭК России) может повлечь административную и уголовную ответственность. Размер и характер санкций приведен экспертами ООО «НПЦ «КСБ» в следующем материале.

Согласно Постановления Правительства № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» от 6 июля 2015 года согласованию со ФСТЭК России подлежат модель угроз безопасности информации (ГИС) и техническое задание на создание ГИС.

Класс защищенности ГИС согласно приказу ФСТЭК России № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11 февраля 2013 года определяется на основании следующих показателей: масштаб ГИС (федеральный, региональный, объектовый); степень возможного ущерба в случае нарушения конфиденциальности, целостности и доступности (высокая, низкая, средняя).

Класс защищенности ГИС в ПК «АльфаДок» определяется автоматически на основе сведений, внесенных в программный комплекс.

Требования к усилению ИАФ.4 «Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации» установлены в методическом документе «Меры защиты информации в государственных информационных системах», утвержденном ФСТЭК России 11 февраля 2014 г.

Согласно Федеральному закону № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» от 26 июля 2017 года к объектам КИИ относятся информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сферах здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей, и принадлежащие субъектам КИИ на праве собственности, аренды или на ином законном основании.

К основным нормативным правовым актам, регулирующим сферу обеспечения безопасности КИИ, относятся:

• Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года;
• Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» от 26 июля 2017 года;
• Постановление Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 8 февраля 2018 года;
• Приказ ФСТЭК России № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» от 21 декабря 2017 года ;
• Приказ ФСТЭК России № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» от 25 декабря 2017 года;
• и др. связанные с вышеуказанными нормативные правовые акты.

C полным списком нормативных правовых актов, регулирующих сферу обеспечения безопасности КИИ, Вы можете ознакомиться в разделе «Нормативно-правовая база».

• Федеральная служба безопасности (ФСБ России) – устанавливает порядок информирования об объектах КИИ и инцидентах, определяет состав предоставляемой информации, проводит оценку безопасности объектов КИИ;  
• Федеральная служба по техническому и экспортному контролю (ФСТЭК России) – орган, устанавливающий требования по обеспечению безопасности значимых объектов КИИ и осуществляющий контроль за выполнением требований по категорированию объектов КИИ и обеспечению безопасности значимых объектов.

Несоблюдение требований законодательства в сфере защиты объектов КИИ может повлечь административную и уголовную ответственность. Размер и характер санкций приведен экспертами ООО «НПЦ «КСБ» в следующем материале.

Да, в случае если ни один из показателей критериев значимости неприменим для объекта КИИ или объект КИИ не соответствует ни одному показателю критериев значимости и их значениям (п. 6 Постановления Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 8 февраля 2018 года).

Субъект КИИ не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов КИИ или их значений должен провести пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий. После переоценки показателей критериев значимости необходимо направлять форму во ФСТЭК России в том случае, если меняется категория значимости объекта (п. 21 Постановления Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 8 февраля 2018 года).

Также в случае изменения сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, необходимо направить во ФСТЭК России форму в печатном и электронном виде с актуальными сведениями не позднее 20 рабочих дней со дня их изменения (п. 19.1 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации).

Документ «Сведения о результатах присвоения объекту КИИ категории значимости» формируется в Портфеле документов ПК «АльфаДок» в форматах DOCX, PDF и ODS в соответствии со сведениями, внесенными в программный комплекс. В указанных выше случаях пользователю необходимо актуализировать информацию в ПК «АльфаДок», выгрузить документ и направить его во ФСТЭК России вместе с сопроводительным письмом.

Обратите внимание! Сопроводительное письмо для согласования результатов категорирования объектов КИИ со ФСТЭК России можно сформировать в Рабочем столе «Операционная деятельность», разделе «Сведения о согласовании с регуляторами».

Да, по решению руководителя субъекта КИИ, имеющего филиалы, представительства, могут создаваться отдельные комиссии по категорированию ОКИИ в этих филиалах, представительствах.

Координацию и контроль деятельности комиссий по категорированию в филиалах, представительствах осуществляет комиссия по категорированию субъекта КИИ (п. 11.2  Постановления Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 8 февраля 2018 года).

Организация должна проводить процедуру категорирования в отношении тех информационных систем (ИС), автоматизированных систем управления (АСУ) или информационно-телекоммуникационных систем (ИТКС), которые являются объектами критической информационной инфраструктуры (КИИ) и на праве собственности, аренды или на ином законном основании принадлежат самой организации.

Проект методических рекомендаций по категорированию объектов КИИ, опубликованный на Портале оперативного взаимодействия участников ЕГИСЗ Департамента цифрового развития информационных технологий Министерства здравоохранения Российской Федерации под «иным законным основанием» подразумевает передачу прав пользования ИС, АСУ, ИТКС на основании правовых актов или решений собственника без передачи права собственности на них. Например: на основании договора безвозмездного пользования (ГК РФ, ст. 689), договора на право хозяйственного ведения (ГК РФ, ст. 294), договора на право оперативного управления (ГК РФ, ст. 296). Если у организации есть соответствующее право пользования региональной медицинской информационной системой, то это самостоятельный объект КИИ, в отношении которого необходимо проведение категорирования.

Также хочется отметить, что в разных регионах Российской Федерации к решению данного вопроса существуют разные подходы:

• В одном регионе Минздрав может принять решение, что региональная МИС – это объект КИИ Минздрава и именно Минздрав в отношении указанной МИС будет проводить процедуру категорирования, а больницам такой объект выделять не нужно.
• В другом регионе может сложиться совершенно обратная ситуация: Минздрав может настаивать, чтобы и больницы выделяли МИС как свой объект КИИ.

Поэтому рекомендуем уточнять данный вопрос непосредственно у Минздрава вашего региона.