Для корректного внесения сведений в профиль в каждом разделе АльфаДок размещена ссылка на соответствующий раздел руководства пользователя. Полное содержание руководства пользователя расположено в разделе Меню/Помощь/База знаний/Руководство пользователя (в виде текста и в форме видеоматериалов). Также рядом с каждым полем для заполнения приведена справка с дополнительной информацией.
В случае возникновения дополнительных вопросов пользователи АльфаДок могут обратиться в Службу экспертной поддержки, наши эксперты проконсультируют Вас по вопросам внесения сведений в программный комплекс.
Несоблюдение требований законодательства в сфере информационной безопасности может повлечь за собой дисциплинарную, гражданско-правовую, административную, уголовную и иную ответственность. Размер и характер санкций приведены в следующих материалах:
Пакет документов, формируемый в АльфаДок, полностью удовлетворяет требованиям законодательства в области персональных данных, а также регулярно актуализируется экспертами сервиса в соответствии с изменениями законодательства. Это подтверждают многолетний опыт подготовки пользователей программного комплекса к проверкам Роскомнадзора и их отзывы.
Кроме того, пользователи АльфаДок при прохождении проверки Роскомнадзора (а также ФСТЭК России и ФСБ России) имеют право на экспертную консультационную поддержку специалистов АльфаДок:
Скачивание документов доступно только для коммерческих тарифов. В случае, если Вы зарегистрировались в АльфаДок самостоятельно и тестируете систему, выгрузка документов будет Вам недоступна. Для ознакомления с содержанием документов в группе разделов «Документы», в разделе «Портфель документов», на вкладке «ОРД по информационной безопасности» сформируйте пакет документов и нажмите на символ лупы.
Для получения дополнительных уточнений, пожалуйста, обратитесь в Службу экспертной поддержки АльфаДок по телефону горячей линии: 8 800 500-52-33. Для уточнения вопросов, возникающих в процессе приобретения, тестирования и эксплуатации АльфаДок, оставьте заявку по ссылке https://alfa-doc.ru/ecosystem/alfa-doc/, нажав на кнопку «Отправить заявку» и заполнив форму.
В соответствии с ч. 1 ст. 11 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года к биометрическим персональным данным (далее – ПДн) относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.
Поскольку с недавних пор Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим ПДн и особенности их обработки» утратили силу, наши эксперты направляли соответствующий запрос в адрес Роскомнадзора. При отнесении данных к биометрическим ПДн регулятор рекомендуем руководствоваться законодательной и правоприменительной практикой.
Например, цветное цифровое фотографическое изображение лица владельца документа является биометрическими ПДн владельца документа в соответствии с п. 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утверждённого постановлением Правительства Российской Федерации от 04.03.2010 № 125.
Также регулятор отмечает, что ПДн можно отнести к биометрическим в случае соответствия формата записи изображения лица формату, заложенному Национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013, утверждённым приказом Федерального агентства по техническому регулированию и метрологии Российской Федерации от 06 сентября 2013 года № 987-ст.
Также на своих многочисленных вебинарах представители регулятора отмечают, что ПДн являются биометрическими в случае, если осуществляется идентификация/аутентификация субъектов ПДн. Так, например, потоковая видеозапись, не предусматривающая идентификацию/аутентификацию не является биометрическими ПДн и подчиняется общим правилам обработки ПДн. Однако, если видеозапись предполагает идентификацию/аутентификацию, установление личности человека, то в этом случае она относится к сфере обработки биометрических ПДн.
Ярким примером операторов, обрабатывающих биометрические ПДн, являются органы, осуществляющие оперативно-розыскную деятельность, и использующие сведения, характеризующие физиологические и биологические особенности человека, для установления личности субъекта ПДн.
Таким образом, полагаем, ПДн будут считаться биометрическими при выполнении одного из следующих условий:
• сведения характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн (осуществляется идентификация/аутентификация субъектов ПДн);
• имеются положения законодательства Российской Федерации, прямо указывающие, что данные сведения могут быть отнесены к биометрическим ПДн;
• формат записи изображения лица соответствует формату, заложенному Национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013.
Обращаем Ваше внимание, что оценка отнесения сведений к биометрическим ПДн осуществляется в каждом конкретном случае с учетом фактических обстоятельств, а также требований законодательства Российской Федерации.
К основным нормативно-правовым актам, регулирующим процессы обработки и защиты ПДн относятся:
С 1 сентября 2022 года вступили в силу изменения в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ-152), связанные с уведомлениями, которые оператору необходимо направлять в адрес Роскомнадзора.
С момента вступления изменений в силу перечень обязательных уведомлений увеличился, теперь операторы должны уведомлять Роскомнадзор:
Уведомление об обработке (о намерении осуществлять обработку) ПДн – это документ установленной формы, который необходимо отправить в территориальный орган Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по месту регистрации оператора. Данная обязанность установлена ч. 1 ст. 22 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года.
Подать Уведомление в территориальное управление Роскомнадзора можно несколькими способами:
Решение о включении организации в реестр операторов будет принято в течение 30 дней после даты поступления уведомления в территориальный орган Управления Роскомнадзора одним из перечисленных способов.
Подробно о видах уведомлений, которые оператор обязан направлять в адрес Роскомнадзора, Вы можете ознакомиться в методическом материале, разработанном экспертами ООО «НПЦ «КСБ» специально для пользователей АльфаДок.
Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн – это документ установленной формы, который необходимо отправить в территориальное управление Роскомнадзора в случае изменения данных, указанных в отправленном ранее Уведомлении об обработке (о намерении осуществлять обработку) ПДн.
Отправить Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн в территориальное управление Роскомнадзора можно несколькими способами:
В случае изменения сведений, указанных в Уведомлении об обработке (намерении осуществлять обработку) ПДн, оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов ПДн не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения (ч. 7 ст. 22 ФЗ-152 «О персональных данных»).
Срок рассмотрения Уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн, исчисляется со дня его регистрации в территориальном управлении Роскомнадзора. Изменения в сведения об Операторе вносятся в Реестр не позднее 30 дней с даты регистрации Уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн.
Подробно о видах уведомлений, которые оператор обязан направлять в адрес Роскомнадзора, Вы можете ознакомиться в методическом материале, разработанном экспертами ООО «НПЦ «КСБ» специально для пользователей АльфаДок.
Ежегодно в конце декабря территориальные управления Роскомнадзора публикуют на своих официальных сайтах план проведения плановых контрольных (надзорных) мероприятий, согласованный с органами прокуратуры. Проверить, попала ли Ваша организация в такой план на очередной год, можно на официальном сайте управления Роскомнадзора Вашего региона.
Также регулятор уведомляет организацию о проверке за 24 часа до ее начала путем направления копии приказа о проверке (как правило, по электронной почте).
В случае, если территориальные управления Роскомнадзора опубликовали планы проверок на год, сотрудники Службы экспертной поддержки АльфаДок уведомляют действующих пользователей о предстоящем плановом контрольно-надзорном мероприятии за 1-2 месяца. Также Вы сможете самостоятельно отслеживать наличие ближайших проверок в группе разделов «Рабочий стол» (виджет «Проверки регуляторов»).
В целом процесс подготовки к проверке состоит из следующих шагов:
1. Проведение внутреннего аудита для анализа процессов обработки ПДн в организации.
В рамках аудита необходимо определить:
2. Назначение лиц, ответственных за организацию обработки и за обеспечение безопасности ПДн.
Необходимо назначить ответственного за организацию обработки ПДн, как правило, это сотрудник из числа руководящего состава организации (директор или заместитель директора) или сотрудник отдела кадров. В качестве ответственного за обеспечение безопасности ПДн обычно назначают технического специалиста.
3. Разработка и утверждение необходимой документации.
ФЗ-152 «О персональных данных» от 27 июля 2006 года не регламентирует наименования документов, но определяет, какие процессы по обработке ПДн должны быть оформлены документально. Разрабатываемый в АльфаДок пакет документов по защите ПДн включает в себя более 20 документов (с перечнем документов можно ознакомиться в разделе «Нормативно-правовая база»). Пакет документов обязательно должен включать в себя Политику в отношении обработки ПДн.
4. Подача уведомления о намерении осуществлять обработку персональных данных в Роскомнадзор.
Уведомление об обработке ПДн можно отправить в электронном виде с сайта Роскомнадзора. Распечатанную электронную форму необходимо направить по почте в Управление Роскомнадзора Вашего региона. В течение 30 дней организация будет внесена в реестр операторов ПДн. В случае изменений необходимо обязательно уведомить Роскомнадзор, подав Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн, с перечнем изменений.
Подробно о видах уведомлений, которые оператор обязан направлять в адрес Роскомнадзора, Вы можете ознакомится в методическом материале, разработанном экспертами ООО «НПЦ «КСБ» специально для пользователей АльфаДок.
Более подробно о видах государственного контроля и о том, как выполнить требования законодательства в сфере защиты ПДн и подготовиться к проверке Роскомнадзора, эксперты АльфаДок рассказали в следующем материале.
Внеплановые контрольные (надзорные) мероприятия, за исключением внеплановых контрольных (надзорных) мероприятий без взаимодействия, проводятся по основаниям, предусмотренным п. 1, 3-6 ч. 1 и ч. 3 ст. 57 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».
Внеплановые проверки могут проводиться по следующим основаниям:
Индикатором риска нарушения обязательных требований является соответствие или отклонение от параметров объекта контроля, которые сами по себе не являются нарушениями обязательных требований, но с высокой степенью вероятности свидетельствуют о наличии таких нарушений и риска причинения вреда (ущерба) охраняемым законом ценностям. Перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных утвержден Приказом Министерства цифрового развития, связи и массовых коммуникаций РФ от 15 ноября 2021 г. № 1187 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных».
К ним относятся:
Возможно проведение внеплановой выездной проверки, внепланового инспекционного визита в случае поступления от контролируемого лица в Роскомнадзор информации об устранении выявленных нарушений обязательных требований. Предмет такой внеплановой выездной проверки и такого внепланового инспекционного визита ограничивается оценкой устранения нарушений обязательных требований, выявленных в рамках процедур периодического подтверждения соответствия (компетентности).
Организация проведения внеплановых контрольных (надзорных) мероприятий осуществляется в соответствии с положениями ст. 66 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».
Лица, виновные в нарушении требований Федерального закона, несут предусмотренную законодательством РФ ответственность, а именно: дисциплинарную, гражданско-правовую, административную, уголовную и иную ответственность. Подробно размер и характер санкций за нарушение требований Федерального закона приведены в следующем материале.
Законодательство не определяет, кто из должностных лиц может быть назначен ответственным за организацию обработки ПДн.
В соответствии с ч. 2 ст. 22.1 Федерального закона «О персональных данных» от 27 июля 2006 года ответственный за организацию обработки получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему, к тому же на данного ответственного возлагаются функции по организации обработки ПДн, поэтому рекомендуется назначать работника из числа руководящего состава (например, заместителя руководителя), так как именно ему легче всего организовать обработку ПДн, а также делегировать часть возложенных функций.
Однако следует учесть, что это не является обязательным требованием. Исходя из нашей практики, ответственным за организацию обработки ПДн довольно часто назначают работника отдела кадров.
Эксперты ООО «НПЦ «КСБ» специально для пользователей АльфаДок разработали методический материал по назначению ответственных лиц.
Обработка специальных категорий ПДн (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) без согласия субъекта или его законного представителя допускается в случаях, перечисленных в ч. 2 ст.10 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года.
Обработка биометрических ПДн (отпечатки пальцев, сетчатка глаза и т.д.) может осуществляться без согласия субъекта ПДн в случаях, указанных в ч. 2, ст. 11 Федерального закона № 152-ФЗ «О персональных данных».
Обработка иных категорий ПДн без согласия субъекта или его законного представителя допустима в случаях, указанных в ч.1 ст. 6 Федерального закона № 152-ФЗ «О персональных данных». А именно:
В соответствии с ч. 3 ст. 6 Федерального закона 152-ФЗ «О персональных данных» от 27 июля 2006 года оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора).
Пример: передача ПДн работника организации в кредитно-финансовые учреждения в целях начисления заработной платы относится к поручению обработки ПДн.
Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных», соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных данным Федеральным законом.
В поручении оператора должны быть определены:
Под уничтожением ПДн, согласно п. 8 ст. 3 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года, понимаются действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
Порядок документальной фиксации уничтожения ПДн субъекта определяется оператором ПДн самостоятельно. Уничтожение ПДн субъекта осуществляется созданной оператором комиссией либо иным должностным лицом, назначенным оператором.
В случае если обработка ПДн осуществляется оператором без использования средств автоматизации, документом, подтверждающим уничтожение ПДн субъектов ПДн, является акт об уничтожении ПДн. В случае если обработка ПДн осуществляется с использованием средств автоматизации, документами, подтверждающими уничтожение ПДн субъектов ПДн, являются акт об уничтожении ПДн, соответствующий требованиям, содержащимся в пп. 3 и 4 Требований к подтверждению уничтожения ПДн, утв. Приказом Роскомнадзора от 28.10.2022 № 179, и выгрузка из журнала регистрации событий в ИСПДн.
Типовая форма акта, соответствующая Требованиям к подтверждению уничтожения ПДн, утв. Приказом Роскомнадзора от 28.10.2022 № 179, приведена в Правилах по уничтожению ПДн (Правила являются приложением к приказу/ распоряжению/ постановлению «Об уничтожении ПДн»).
По общему правилу, ПДн подлежат уничтожению в случаях: достижения целей обработки или утраты необходимости в достижении этих целей; выявления неправомерной обработки ПДн при невозможности обеспечить правомерность обработки; отзыва субъектом ПДн согласия на их обработку. При этом, если оператор не может в установленные сроки (10 дней – для случаев неправомерной обработки и 30 дней – в остальных случаях) уничтожить ПДн, то он должен осуществить их блокирование, а затем – в течение полугода обеспечить уничтожение (ст. 21 Федерального закона «О персональных данных»).
В соответствии с ч. 3 ст. 10 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года обработка ПДн о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами. Также обработка сведений о судимости допускается в случае, если субъект ПДн предоставил согласие в письменной форме на их обработку (п. 1 ч. 2. ст. 10 Федерального закона № 152-ФЗ «О персональных данных»).
Согласно Федеральному закону № 79-ФЗ и Указу Президента № 609 к личным делам приобщаются копии паспортов, страховых свидетельств, копии актов гражданского состояния и иных персональных данных.
Роскомнадзор считает нарушением сбор лишних персональных данных, даже если работник дал на это согласие. Но в отношении государственных гражданских служащих хранение копии паспорта в личном деле прямо предусмотрено законом (п. 16 Положения, утвержденного Указом Президента РФ от 30 мая 2005 г. № 609). Таким образом, запрет на хранение копии паспорта в личном деле не распространяется на государственных гражданских служащих.
Исходя из сказанного, во избежание штрафов рекомендуется не хранить копии паспорта в личных делах работников, не относящихся к государственным гражданским служащим или иным категориям работников, хранение копий паспортов которых в личных делах предусмотрено законом.
Снимайте копии с документов, только если это необходимо, чтобы предоставить сотруднику гарантии и компенсации (пособия, путевки и пр). И храните копии, пока не достигли цели, для которой их снимали. Проверьте личные дела сотрудников. Если в них есть копии документов, которые вам уже не нужны, уничтожьте их. Например, в деле осталась копия справки о рождении ребенка, а пособия уже выплатили. Составьте акт об уничтожении справки и избавьтесь от нее (информация Роскомнадзора от 25 сентября 2015 г.). Будущие копии уничтожайте в течение 30 дней с даты, когда достигли цели обработки данных (ч. 4 ст. 21 Закона N 152-ФЗ). Порядок уничтожения нигде не прописан. Вы можете установить его самостоятельно.
Для ГИС 3 класса защищенности |
|
Для ГИС 2 класса защищенности |
|
Для ГИС 1 класса защищенности |
|
Требования к усилению ИАФ.4 «Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации» установлены в методическом документе «Меры защиты информации в государственных информационных системах», утвержденном ФСТЭК России 11 февраля 2014 г.