О подготовке к проверке
Уведомление о проверке с копией приказа направляется юридическому, (ИП) физическому лицу за 3 дня (при внеплановой проверке – за 1 день)
до начала проверки.
(Перечень документов, которые необходимо подготовить оператору к началу
проверки указан в п.11 приказа).
ПРИКАЗ
о проведении плановой выездной проверки
Закрытого акционерного общества «Втормет»
от «____» ____________ г. № _____
1. Провести проверку в отношении Закрытого акционерного общества «Втормет», ОГРН 10433557744883.
2. Место нахождения: 620000, Нижний Тагил, Путейная ул., д. 33; место фактического осуществления деятельности: 620000, Нижний Тагил, Путейная ул., д. 33.
3. Назначить лицами, уполномоченными на проведение проверки:
– начальника отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий, председатель;
– главного специалиста-эксперта отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий;
– главного специалиста-эксперта отдела организационной, правовой работы.
4. Привлечь к проведению проверки в качестве экспертов, представителей экспертных организаций следующих лиц: не привлекаются.
5. Установить, что:
настоящая проверка проводится с целью:
выполнения Плана проведения плановых проверок Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Свердловской области на 2012 год, утвержденного 28.10.2012 № 1318, размещенного на официальном Интернет-сайте Управления Роскомнадзора по Уральскому федеральному округу, http://66.rkn.gov.ru/;
задачами настоящей проверки являются:
- проверка соблюдения обязательных требований в сфере обработки персональных данных;
- проверка соответствия сведений, содержащихся в уведомлении об обработке персональных данных, поступивших от оператора персональных данных, и фактической деятельности оператора;
- проверка локальных актов оператора персональных данных, регламентирующих порядок и условия обработки персональных данных;
- проверка порядка и условий трансграничной передачи персональных данных;
- проверка порядка обработки персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации;
- проверка соблюдения требований конфиденциальности при обработке персональных данных;
- проверка фактов уничтожения персональных данных субъектов персональных данных по достижении цели обработки.
6. Предметом настоящей проверки является:
соблюдение обязательных требований законодательства Российской Федерации в области персональных данных.
7. Срок проведения проверки: 20 рабочих дней
К проведению проверки приступить с 14 января 2013г.
Проверку окончить не позднее 08 февраля 2013г.
8. Правовые основания проведения проверки:
- Федеральный закон от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»;
- Постановление Правительства от 16.03.2009г. № 228 «О федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»;
- Положение об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденное приказом Роскомнадзора от 22.05.2009 № 153.
В ходе проверки осуществить контроль за соблюдением выполнения требований:
- Федерального закона от 27.07.2006 № 152-Ф3 «О персональных данных»;
- Трудового кодекса Российской Федерации от 30.12.2001 № 197-Ф3;
- Постановления Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановления Правительства Российской Федерации от 01 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 06.07.2008г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
9. В процессе проверки провести следующие мероприятия по контролю, необходимые для достижения целей и задач проведения проверки:
- контроль (надзор) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных;
- исследование (обследование) информационных систем персональных данных, в части касающейся персональных данных субъектов персональных данных, обрабатываемых в них.
10. Перечень административных регламентов проведения мероприятий по контролю, необходимых для проведения проверки:
- Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций функции по осуществлению государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утверждён приказом Министерства связи и массовых коммуникаций РФ от 14.11.2011г. № 312, зарегистрирован в Минюсте России 13.12.2011г. № 22595).
11. Перечень документов, представление которых проверяемым лицом необходимо для достижения целей и задач проведения проверки:
- копия документа о назначении должностного лица или уполномоченного представителя, которое обязано представлять интересы юридического лица, индивидуального предпринимателя при проведении проверки;
- организационно – штатная структурная схема юридического лица (до структурного подразделения);
- журнал учета проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля.
- уведомление об обработке персональных данных;
- письмо о внесении изменений в уведомление об обработке персональных данных (в случае возникновения изменений должно быть отправлено не позднее 10 рабочих дней с даты их возникновения);
- документы, подтверждающие обработку заявленных оператором персональных данных: снимок экрана (скриншот) - в случае осуществления автоматизированной обработки персональных данных; локальные акты, устанавливающие перечень обрабатываемых оператором персональных данных;
- письменное согласие субъектов персональных данных (в том числе работников) на обработку их персональных данных, составленное в соответствии с требованиями ст. 9 Федерального закона № 152-ФЗ от 27.07.2006г. «Об обработке персональных данных»;
- документы (согласие субъектов персональных данных на обработку их данных, нормативные правовые акты), подтверждающие наличие полномочий у оператора на обработку специальных категорий персональных данных (состояние здоровья, расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние интимной жизни) и биометрических персональных данных, а также документы (локальные акты оператора), подтверждающие соблюдение требований законодательства Российской Федерации при обработке указанных категорий персональных данных;
- локальные акты, регламентирующие порядок и условия обработки персональных данных, (положения, инструкции об автоматизированной и (или) неавтоматизированной обработке персональных данных работников оператора, иных субъектов персональных данных; листы ознакомления сотрудников, допущенных к обработке персональных данных без использования средств автоматизации, о факте обработке ими персональных данных и иных обстоятельствах, предусмотренных п.6 Постановления Правительства РФ № 687 от 15.09.2008г.);
- локальные акты, устанавливающие порядок уничтожения, а также подтверждающие уничтожение оператором персональных данных субъектов персональных данных по достижении цели обработки (например, акты об уничтожении материальных носителей персональных данных);
- описание помещений, в которых осуществляется обработка персональных данных: расположение, номера помещений; наличие охраны, режима обеспечения безопасности, оборудование помещений; общее количество рабочих мест, количество рабочих мест, на которых обрабатываются персональные данные; описание ЭВМ, носителей, на которых производится обработка персональных данных наименование, заводской, инвентарный номер (ЭВМ, носителей персональных данных); наличие средств шифрования (криптозащиты); средств имитозащиты (аппаратные, программные, аппаратно-программные средства, системы и комплексы) - наименование, заводской, инвентарный номер;
- локальные акты, определяющие список лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
- локальные акты, устанавливающие лиц, ответственных за обработку перс. данных;
- договоры оператора с третьими лицами, в случае, если оператор на основании такого договора поручает им обработку персональных данных (договор обязательного медицинского страхования работающих граждан; договоры, о зачислении денежных средств на счета физических лиц (работников оператора) в соответствии с реестрами, предоставляемыми на электронных носителях; договоры с медицинским учреждением о прохождении обязательного медицинского осмотра работающих граждан);
- документы, подтверждающие выполнение оператором мер, предусмотренных статьями 18.1 и 19 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных»; документы, подтверждающие выполнение оператором при обработке персональных данных необходимых организационных мер для защиты персональных данных от неправомерного или случайного доступа к ним;
- журналы (книги) учёта применяемых средств защиты информации, носителей персональных данных (ЭВМ, дискеты и т.п.); сертификат (ФСТЭК, ФСБ) о возможности эксплуатации средств защиты информации; приказ о составе комиссии по классификации информационных систем персональных данных; документальное оформление присвоения информационной системе соответствующего класса (Акт о присвоении класса); электронный журнал обращений пользователей информационной системы на получение персональных данных; журнал учета периодических проверок информационной системы соответствующими должностными лицами (работниками) оператора или уполномоченного лица; соответствующие документы организации охраны, режима обеспечения безопасности (приказы, другие документы);
- журнал обращений граждан, локальный нормативный акт, утверждающий форму и порядок ведения журнала обращений граждан;
- типовые формы документов, предполагающие или допускающие содержание персональных данных (заявления, анкеты и др.);
- локальные акты оператора, регламентирующие порядок хранения материальных носителей персональных данных;
- журнал (реестр, книга) для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (при наличии).
(перечень представляемых документов может быть уточнён в ходе проверки!)
12. Перечень территориальных органов Роскомнадзора, участвующих в проведении проверки или привлекаемых к проведению отдельных мероприятий по контролю: не привлекаются.
13. Срок размещения в ЕИС Роскомнадзора актов проверок или материалов мероприятий по контролю территориальными органами Роскомнадзора: не установлен.
Руководитель
исполнитель
(343) 359-01-18
Примерный перечень документов (в сфере персональных данных)
представляемых оператором персональных данных в ходе проверки
№ п/п |
Перечень представляемых документов и справок |
Нормативные правовые акты, требования которых подлежат проверке |
1 |
Уведомление об обработке персональных данных |
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ст. 22). |
2 |
Копии исходящих писем или иные документы, подтверждающих выполнение ч.7 ст.22 № 152‑ФЗ «О персональных данных» |
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ч.7 ст.22). |
3 |
Копия письменного согласия на обработку персональных данных, подписанная субъектом персональных данных |
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ч. 1 ст. 6, ч. 4 ст.9). |
4 |
1.Копии договоров, одной из сторон которой является субъект персональных данных. |
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ч. 1 ст. 6). |
5 |
1. Копия письменного согласия субъекта персональных данных (в случае обработки биометрических персональных данных) |
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ст. 11). |
6 |
1. Копия письменного согласия субъекта персональных данных (в случае обработки специальных категорий персональных данных) |
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ст. 10). |
7 |
Копии типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных. |
Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (п. 7). |
8 |
1. Утвержденный список лиц, осуществляющих обработку или имеющих доступ к обрабатываемым персональным данным; |
Постановление Правительства Российской Федерации от 01 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». |
9 |
1. Локальный документ о назначении состава комиссии по классификации информационных систем персональных данных. |
Приказ от 13.02.2008 ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» (зарегистрирован в Минюсте РФ 03.04.2008 № 11462). |
10 |
1. Локальный документ, подтверждающий проведение оператором оценки адекватности защиты прав субъектов персональных данных на территории иностранного государства (в случае необходимости трансграничной передачи). |
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ст. 12). |
11 |
1. Локальные документы, регламентирующие порядок и условия обработки персональных данных работников. |
Глава 14 Трудового кодекса Российской Федерации. |
12 |
1. Локальный акт, устанавливающий порядок и условия уничтожения персональных данных, а также о назначении состава комиссии. |
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ст. 21; ст.14). |
13 |
Копия локального документа: |
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ч. 1 ст. 18.1). |
14 |
Копия вида опубликованных на официальном сайте документов, определяющих политику оператора в отношении обработки персональных данных |
Федеральный закон от 27.07.2006 № 152- ФЗ «О персональных данных» (ч. 2 ст. 18.1). |
15 |
Перечень документов указанных в п. 11 копии приказа о проведении проверки, ранее направленного в адрес оператора персональных данных. |
Федеральный закон от 26.12.2008 № 294- ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» |
Время публикации: 03.02.2012 13:08
Последнее изменение: 05.02.2014 11:43