Методика по контролю ПДн - Контроль соответствия

Уведомление Роскомнадзора об обработке ПДн (намерение/изменения) (УВ-ПД)

УВ-ПД1
1. Определён порядок, позволяющий выполнить следующие требования:

До начала обработки ПДн необходимо уведомить Роскомнадзор о своем намерении осуществлять обработку ПДн (за исключением установленных законодательством случаев).

В случае изменения сведений, указанных в ч. 3 ст. 22 152-ФЗ, не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, необходимо уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях.
Уведомление должно быть подписано уполномоченным лицом.
Уведомление должно содержать полные и достоверные сведения, указанные в ч. 3, (в т. ч. п. 3.1.) ст. 22 152-ФЗ.

2. Отсутствуют положения/обстоятельства, которые противоречат 152-ФЗ и не позволяют выполнить Требования.

УВ-ПД2

Присутствие в реестре операторов ПДн на сайте Роскомнадзора (если компания не подпадает под исключения).

Направлено уведомление о намерении осуществлять обработку ПДн, соблюдён срок направления уведомления (до начала обработки).

Направлено уведомление обо всех произошедших изменениях в установленный законодательством срок (если при проверке установлено, что с момента направления уведомления о намерении в обработке/уведомления об изменениях произошли изменения).

Уведомление подписано уполномоченным лицом.

Уведомление содержит полные и достоверные сведения, указанные в ч. 3, (в т.ч. П. 3.1.) ст. 22 152-ФЗ, а именно:
- Информация, содержащаяся в направленном уведомлении, соответствует информации, размещённой в реестре операторов на сайте Роскомнадзора (в случае несоответствий запросить подтверждение того, что такое несоответствие не обусловлено виной/ошибками проверяемой компании;
- только в случае, если несоответствие не обусловлено ошибкой оператора, нарушение в части несоответствия отсутствует).
- Информация, содержащаяся в направленном уведомлении, отражает:
  - фактические процессы;
  - информацию, указанную в Политике в отношении обработки ПДн;
  - информацию, указанную в иных ЛНА оператора.

Политика обработки ПДн

ПО-ПД1

Издана Политика в отношении обработки ПДн.

Содержательная часть Политики соответствует требованиям законодательства о ПДн, а именно:
- не противоречит 152-ФЗ, в частности, не содержат положения, ограничивающие права субъектов ПДн, а также возлагающие на операторов не предусмотренные законодательством РФ полномочия и обязанности;
- содержит информацию, указанную в п. 2 ч. 1 ст. 18.1. 152-ФЗ;
информация, указанная в соответствии с п. 2 ч. 1. ст. 18.1 152-ФЗ;
- отражает фактические процессы компании (при условии, что процессы выстроены без нарушений 152-ФЗ),
- соответствует информации, отражённой в уведомлении в уведомлениях, направленных в Роскомнадзор [намерение и/или изменения, трансграничная передача (если применимо)] (при условии, что уведомления соответствуют процессам, а процессы соответствует 152-ФЗ);
Из условий политики не следует, что оператор заявляет её в качестве основания обработки ПДн.

ПО-ПД2

Определён порядок, позволяющий выполнить требование к опубликованию Политики/обеспечению к ней неограниченного доступа, в том числе определенный порядок не содержит требования, противоречащие 152-ФЗ.
Отсутствуют положения/обстоятельства, которые противоречат 152-ФЗ и не позволяют выполнить Требования.

ПО-ПД3
Политика в отношении обработки ПДн опубликована или к ней иным образом обеспечен неограниченный доступ.

ПО-ПД4

Определён порядок, позволяющий выполнить требование, в соответствии с которым оператор, осуществляющий сбор ПДн с использованием информационно-телекоммуникационных сетей, обязан опубликовать политику в отношении обработки ПДн в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор ПДн. Определённый порядок не противоречит 152-ФЗ.
Отсутствуют положения/обстоятельства, которые противоречат 152-ФЗ и не позволяют выполнить Требования.

ПО-ПД5
В случае, если сбор ПДн осуществляется с использованием сети «Интернет», Политика размещена, во-первых, но том ресурсе, посредством которого осуществляется сбор; во-вторых, на каждой странице такого интернет-ресурса.

ПО-ПД6
Требования Политики выполняются в компании (при условии, что Политика соответствует и не противоречит требованиям 152-ФЗ).

ЛНА оператора

ЛНА-01
Содержательная часть ЛНА соответствует требованиям законодательства о ПДн, а именно:

не противоречит 152-ФЗ, в частности, не содержат положения, ограничивающие права субъектов ПДн, а также возлагающие на операторов не предусмотренные законодательством РФ полномочия и обязанности;
содержит информацию, указанную в п. 2 ч. 1 ст. 18.1. 152-ФЗ;
информация, указанная в соответствии с п. 2 ч. 1. ст. 18.1 152-ФЗ:
- отражает фактические процессы компании (при условии, что процессы выстроены без нарушений 152-ФЗ),
- соответствует информации, отраженной в уведомлении в уведомлениях, направленных в Роскомнадзор [намерение и/или изменения, трансграничная передача (если применимо)] (при условии, что уведомления соответствуют процессам, а процессы соответствует 152-ФЗ);
- соответствует Политике в отношении обработки ПДн (неприменимо, если гэп в Политике).

ЛНА-02
Требования ЛНА выполняются в компании (при условии, что ЛНА соответствуют и не противоречат требованиям 152-ФЗ).
1. Определён порядок, позволяющий выполнить следующие требования законодательства:

назначить ответственного за организацию обработки ПДн;
обеспечить подотчётность лица, ответственного за организацию обработки ПДн, непосредственно исполнительному органу оператора;
обеспечить предоставление лицу, ответственному за организацию обработки ПДн, сведений, указанных в ч. 3 ст. 22 152-ФЗ;
обеспечить выполнение лицом, ответственным за организацию обработки ПДн, обязанностей, установленных ч. 4 ст. 22.1 152-ФЗ.

2. Отсутствуют положения/обстоятельства, которые противоречат 152-ФЗ и не позволяют выполнить Требования.

Ответственный за организацию обработки ПДн

Н-ОТВ1

1. Определён порядок, позволяющий выполнить следующие требования законодательства:

назначить ответственного за организацию обработки ПДн;

обеспечить подотчётность лица, ответственного за организацию обработки ПДн, непосредственно исполнительному органу оператора;

обеспечить предоставление лицу, ответственному за организацию обработки ПДн, сведений, указанных в ч. 3 ст. 22 152-ФЗ;
обеспечить выполнение лицом, ответственным за организацию обработки ПДн, обязанностей, установленных ч. 4 ст. 22.1 152-ФЗ.

2. Отсутствуют положения/обстоятельства, которые противоречат 152-ФЗ и не позволяют выполнить Требования.

Н-ОТВ2
Фактически обеспечено выполнение следующих требований:

назначить ответственного за организацию обработки ПДн;

обеспечить подотчётность лица, ответственного за организацию обработки ПДн, непосредственно исполнительному органу оператора;

обеспечить предоставление лицу, ответственному за организацию обработки ПДн, сведений, указанных в ч. 3 ст. 22 152-ФЗ;
обеспечить выполнение лицом, ответственным за организацию обработки ПДн, обязанностей, установленных ч. 4 ст. 22.1 152-ФЗ.

Правовое основание: согласие на обработку ПДн

ПО-С1
1. Определён порядок, который позволяет выполнить следующие Требования:

Согласия должны соответствовать требованиям к конкретности, предметности, информированности, сознательности, однозначности. Согласия должны содержать условия, которые позволяют сделать вывод: субъект предоставляет согласие свободно, своей волей, в своем интересе (молчание при этом не должно считаться предоставлением согласия).
В согласии должны быть учтены принципы обработки ПДн, а именно:
- в согласии должны быть определены конкретные и законные цели обработки;
- содержание и объём указанных в согласии ПДн должны соответствовать целям обработки ПДн.

2. Отсутствуют положения/обстоятельства, которые противоречат 152-ФЗ и не позволяют выполнить Требования.

ПО-С2

Интегрированные в процессы согласия соответствуют требованиям к конкретности, предметности, информированности, сознательности, однозначности. Согласие содержит условия, которые позволяют сделать вывод: субъект предоставляет согласие свободно, своей волей, в своем интересе (молчание при этом не должно считаться предоставлением согласия).
В интегрированных в процессы согласиях учтены принципы обработки ПДн, а именно:
- в согласии должны быть определены конкретные и законные цели обработки;
- содержание и объём указанных в согласии ПДн должно соответствовать целям обработки ПДн.
Указанные в согласии/вытекающие из согласия цели обработки ПДн, категории субъектов ПДн, чьи ПДн обрабатываются на основании согласия, категории и перечень обрабатываемых ПДн должен соответствовать:
- Уведомлению, поданному в Роскомнадзор;
- Политике/ЛНА оператора.
*Указанные в согласии/вытекающие из согласия цели обработки ПДн, категории субъектов ПДн, чьи ПДн обрабатываются на основании согласия, категории и перечень обрабатываемых ПДн, действия (операции), совершаемые с ПДн должны соответствовать:
- Уведомлению, поданному в Роскомнадзор;
- Политике/ЛНА оператора.

ПО-С3
1. Определён порядок, который позволяет интегрировать в процессы следующие Требования:

Если согласие предоставляет представитель, у него должны быть соответствующие полномочия.
В случае недееспособности субъекта ПДн согласие предоставляет представитель.
В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта, если согласие не было получено при жизни.

2. Отсутствуют положения/обстоятельства, которые противоречат 152-ФЗ и не позволяют выполнить Требования.

ПО-С4
В процессы интегрированы требования, соответствующие 152-ФЗ, согласно которым:

В случае, если согласие предоставляет представитель, у него должны быть соответствующие полномочия (иначе — осуществляется проверка полномочий).
В случае недееспособности субъекта ПДн согласие предоставляет представитель.
В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта, если согласие не было получено при жизни.

ПО-С5

Определён порядок, позволяющий реализовывать в процессах, где основание обработки — согласие, применимую форму согласия: письменная/распространение/иная (в зависимости от того, определено ли требование к письменной форме/распространяются ли ПДн).

Отсутствуют положения/обстоятельства, которые противоречат 152-ФЗ и не позволяют выполнить Требования.

ПО-С6
В процессы интегрировано требование, позволяющее использовать применимую форму согласия: письменная/для распространения/иная.

ПО-С7

Определён порядок учёта и хранения согласий, который позволяет выполнять обязанность по предоставлению доказательств получения согласия на обработку ПДн.

Отсутствуют положения/обстоятельства, которые противоречат 152-ФЗ и не позволяют выполнить Требования.

ПО-С8
Оператор может подтвердить факт получения согласий по каждому процессу.

ПО-С9

Определён порядок, позволяющий реализовать требование к структурной/содержательной части согласия в письменной форме.

Отсутствуют положения/обстоятельства, которые противоречат 152-ФЗ и не позволяют выполнить требования.

ПО-С10
В процессы (если применимо) интегрированы согласия в письменной форме, отвечающие требованиям 152-ФЗ к структуре/содержанию.

ПО-С11

Определён порядок, позволяющий соблюсти требование, согласно которому согласие на распространение ПДн соответствует требованиям к особенностям его оформления и содержанию:
- Согласие на распространение ПДн предоставляется способами, определёнными 152-ФЗ.
- Содержательная часть согласия на распространение ПДн соответствует требованиям 152-ФЗ и принимаемым в соответствии с ним НПА.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-С12
В процессы (если применимо) интегрированы требования, согласно которым:

Согласие на распространение ПДн собирается отдельно от иных согласий.

Согласие на распространение ПДн предоставляется способами, определёнными 152-ФЗ.
Содержательная часть согласия на распространение ПДн соответствует требованиям 152-ФЗ и принимаемым в соответствии с ним НПА.

ПО-С13
Определён порядок, позволяющий соблюсти требование, согласно которому действие согласия на распространение ПДн прекращается с момента:

поступления соответствующего требования субъекта ПДн (например, отзыва согласия на распространение ПДн;
требования о прекращении передачи (распространения, предоставления, доступа) ПДн;
окончания срока, установленного для обработки ПДн, разрешённых субъектом ПДн для распространения ПДн.

ПО-С14
В процессы интегрировано требование, согласно которому действие согласия на распространение ПДн прекращается с момента:

поступления соответствующего требования субъекта ПДн (например, отзыва согласия на распространение ПДн;
требования о прекращении передачи (распространения, предоставления, доступа) ПДн;
окончания срока, установленного для обработки ПДн, разрешённых субъектом ПДн для распространения ПДн.

Дополнительные требования к распространению ПДн

ПО-ДР1

Определён порядок, который позволяет соблюсти требование: не позднее 3 (трёх) рабочих дней с момента получения оператором согласия на распространение ПДн оператор обязан опубликовать на информационном ресурсе, посредством которого осуществляется распространение ПДн, информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-ДР2
В процессы должно быть интегрировано требование, согласно которому не позднее 3 (трёх) рабочих дней с момента получения оператором согласия на распространение ПДн оператор обязан опубликовать на информационном ресурсе, посредством которого осуществляется распространение ПДн, информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц.

ПО-ДР3

Определён порядок, позволяющий учесть требование: в случае, когда распространение ПДн осуществляется не на основании согласия, должно быть иное основание на распространение ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-ДР4
В процессы интегрировано требование, согласно которому в случае, когда распространение ПДн осуществляется не на основании согласия, должно быть иное основание на распространение ПДн.

ПО-ДР5

Определён порядок, позволяющий соблюсти требование: не допускается осуществлять передачу (предоставление, доступ, распространение) ПДн, если из предоставленного субъектом ПДн согласия на распространение не следует, что субъект ПДн не установил запреты и условия на обработку ПДн или если в предоставленном субъектом ПДн согласии на распространение не указаны категории и перечень ПДн, для обработки которых субъект ПДн устанавливает условия и запреты.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-ДР6
В процессах не осуществляется передача (предоставление, доступ, распространение) ПДн, если из предоставленного субъектом ПДн согласия на распространение не следует, что субъект ПДн не установил запреты и условия на обработку ПДн или если в предоставленном субъектом ПДн согласии на распространение не указаны категории и перечень ПДн, для обработки которых субъект ПДн устанавливает условия и запреты.

ПО-ДР7

Определён порядок, позволяющий соблюсти требование: не допускается распространение ПДн в случае, если из предоставленного субъектом ПДн согласия на распространение ПДн не следует, что субъект ПДн согласился с распространением ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-ДР8
В процессах не осуществляется распространение ПДн в случае, если из предоставленного субъектом ПДн согласия на распространение ПДн, не следует, что субъект ПДн согласился с распространением ПДн.

ПО-ДР9

Определён порядок, позволяющий соблюсти требование к прекращению в установленный 152-ФЗ срок распространения и (если применимо) передачи ПДн, доступа Пдн при поступлении соответствующего требования субъекта ПДн (например, отзыва согласия на распространение ПДн; требования о прекращении передачи ПДн).
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-ДР10
В установленный 152-ФЗ срок прекращается распространения и (если применимо) передачи ПДн, доступа Пдн при поступлении соответствующего требования субъекта ПДн (например, отзыва согласия на распространение ПДн; требования о прекращении передачи ПДн).

Правовое основание: договор

ПО-Д1

Определён порядок, позволяющий учесть следующие требования:
- Договор должен быть применимым правовым основанием (не допускается использовать договор в качестве основания обработки в случае, когда в качестве основания должно быть согласие субъекта ПДн на обработку ПДн или иное).
- Договор должен соответствовать принципам обработки ПДн:
  - содержание и объём обрабатываемых на основании договора ПДн не должен быть избыточным по отношению к цели обработки;
  - договор должен позволять субъекту ПДн понять, в каких целях будут обрабатываться его ПДн.
- Допускается использовать договор в качестве основания обработки, если субъект ПДн является стороной договора, выгодоприобретателем или поручителем.
- Допускается использовать договор в качестве основания обработки, если обработка ПДн необходима для исполнения договора или заключения договора по инициативе субъекта ПДн.
- Договор не должен содержать положения, ограничивающие права и свободы субъекта ПДн.
- Договор должен соответствовать положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-Д2
В процессы интегрированы следующие требования:

Договор должен быть применимым правовым основанием (не допускается использовать договор вместо согласия субъекта ПДн на обработку ПДн или иное).
Договор должен соответствовать принципам обработки ПДн:
- содержание и объём обрабатываемых на основании договора ПДн не должен быть избыточным по отношению к цели обработки;
- договор должен позволять субъекту ПДн понять, в каких целях будут обрабатываться его ПДн.
Допускается использовать договор в качестве основания обработки, если субъект ПДн является стороной договора, выгодоприобретателем или поручителем.
Допускается использовать договор в качестве основания обработки, если обработка ПДн необходима для исполнения договора.
Договор не должен содержать положения, ограничивающие права и свободы субъекта ПДн.
Договор должен соответствовать положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.

ПО-Д3

Определён порядок, позволяющий учесть следующие требования:
- Инициатива заключения договора должна быть применимым правовым основанием (не допускается использовать данное основание в случае, когда в качестве основания должно быть согласие субъекта ПДн на обработку ПДн или иное).
- Форма, в которой субъект может выразить инициативу заключения договора (заявка, запрос и т.п.) должна соответствовать принципам обработки ПДн:
  - содержание и объём обрабатываемых на основании запроса на заключение договора ПДн не должен быть избыточным по отношению к цели обработки;
  - цели обработки ПДн должны быть заранее определены оператором.
- Допускается использовать инициативу заключения договора в качестве основания обработки, если субъект ПДн будет являться стороной договора, выгодоприобретателем или поручителем.
- Допускается использовать инициативу заключения договора в качестве основания обработки, если обработка ПДн необходима для заключения договора по инициативе субъекта ПДн.
- Форма запроса (при наличии) на заключение договора не должна содержать положения, ограничивающие права и свободы субъекта ПДн.
- Информация, обрабатываемая на основании инициативы на заключение договора должна соответствовать положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-Д4
В процессы должны быть интегрированы следующие требования:

Инициатива заключения договора должна быть применимым правовым основанием (не допускается использовать данное основание в случае, когда в качестве основания должно быть согласие субъекта ПДн на обработку ПДн или иное).
Форма, в которой субъект может выразить инициативу заключение договора (заявка, запрос и т.п.) должна соответствовать принципам обработки ПДн:
- содержание и объём обрабатываемых на основании запроса на заключение договора ПДн не должны быть избыточными по отношению к цели обработки;
- цели обработки ПДн должны быть заранее определены оператором.
Допускается использовать инициативу заключения договора в качестве основания обработки, если субъект ПДн будет являться стороной договора, выгодоприобретателем или поручителем.
Допускается использовать инициативу заключения договора в качестве основания обработки, если обработка ПДн необходима для заключения договора по инициативе субъекта ПДн.
Форма запроса (при наличии) на заключение договора не должна содержать положения, ограничивающие права и свободы субъекта ПДн.
Информация, обрабатываемая на основании инициативы заключения договора должна соответствовать положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.

ПО-Д5

Определён порядок, позволяющий соблюсти требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – заключённый договор или инициатива заключения договора).
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-Д6
В процессы интегрировано требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – заключённый договор). Проверяемая компания обеспечивает доказательства.

ПО-Д7

Определён порядок, позволяющий соблюсти требование к предоставлению доказательств наличия наличия правового основания на обработку (в данном случае – инициатива заключение договора: заявка, запрос и т.п.).
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-Д8
В процессы интегрировано требование к предоставлению доказательств наличия наличия правового основания на обработку (в данном случае – инициатива на заключение договора: заявка, запрос и т.п.). Проверяемая компания обеспечивает доказательства.

Правовое основание: международные договоры, закон

ПО-МЗ1

Определён порядок, позволяющий соблюсти требование к применимости и допустимости осуществления обработки ПДн на основании международного договора/закона и применимости данного основания, только в случае, если:
- Указанная обработка является применимым правовым основанием и необходима:
  - для достижения целей, предусмотренных международным договором РФ или законом;
  - и/или для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
- Обеспечивается соответствие принципам обработки ПДн:
  - содержание и объём обрабатываемых в рамках данного основания ПДн не должен быть избыточным по отношению к цели обработки;
  - цели обработки ПДн должны быть заранее определены оператором.
- Информация, обрабатываемая в рамках данного основания, соответствует положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-МЗ2
В процессы интегрировано требование к допустимости осуществления обработки ПДн на основании международного договора/закона и применимости данного основания, только в случае, если:

Указанная обработка является применимым правовым основанием и необходима:
- для достижения целей, предусмотренных международным договором РФ или законом;
- и/или для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
Обеспечивается соответствие принципам обработки ПДн:
- содержание и объём обрабатываемых в рамках данного основания ПДн не должен быть избыточным по отношению к цели обработки;
- цели обработки ПДн должны быть заранее определены оператором.
Информация, обрабатываемая в рамках данного основания, соответствует положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.

МО-З4

Определён порядок, позволяющий соблюсти требование к предоставлению доказательств наличия правового основания на обработку (в данном случае –международный договор/закон).
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

МО-З5
В процессы интегрировано требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – международный договор/закон). Проверяемая компания обеспечивает доказательства.

Правовое основание: статистические и/или исследовательские цели

ПО-СИЦ1

Определён порядок, позволяющий соблюсти к требование к применимости и допустимости осуществления обработки ПДн на основании статистических и/или исследовательских целей только в случае, если:
- Указанная обработка необходима:
  - цель обработки – достижение статистических и иных исследовательских целей;
  - цель обработки (статистические и иные исследовательские цели) не связана с продвижением товаров, работ, услуг на рынке, политической агитацией;
  - осуществляется обезличивание.
- Обеспечивается соответствие принципам обработки ПДн:
  - содержание и объём обрабатываемых в рамках данного основания ПДн не должен быть избыточным по отношению к цели обработки;
  - цели обработки ПДн должны быть заранее определены оператором.
- Информация, обрабатываемая в рамках данного основания, соответствует положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-СИЦ2
В процессы интегрировано требование к применимости и допустимости осуществления обработки ПДн на основании статистических и/или исследовательских целей только в случае, если указанная обработка необходима:

цель обработки – достижение статистических и иных исследовательских целей;
цель обработки (статистические и иные исследовательские цели) не связана с продвижением товаров, работ, услуг на рынке, политической агитацией;
осуществляется обезличивание.

ПО-СИЦ3

Определён порядок, позволяющий соблюсти требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – обработка в статистических и/или исследовательских целях).
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-СИЦ4
В процессы интегрировано требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – обработка в статистических и/или исследовательских целях).

Правовое основание: обработка ПДн в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах

ПО-СУД1

Определён порядок, позволяющий соблюсти к требование к применимости и допустимости осуществления обработки ПДн в рамках правового основания:
- Указанная обработка является применимым правовым основанием (т.е. не должно быть иного обязательного основания).
- Обеспечивается соответствие принципам обработки ПДн:
  - содержание и объём обрабатываемых в рамках данного основания ПДн не должен быть избыточным по отношению к цели обработки;
  - цели обработки ПДн должны быть заранее определены оператором.
- Информация, обрабатываемая в рамках данного основания, соответствует положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-СУД2
В процессы интегрировано требование к применимости и допустимости осуществления обработки ПДн в рамках правового основания только в случае, если:

Указанная обработка является применимым правовым основанием (т.е. не должно быть иного обязательного для использования основания).
Обеспечивается соответствие принципам обработки ПДн:
- содержание и объём обрабатываемых в рамках данного основания ПДн не должен быть избыточным по отношению к цели обработки;
- цели обработки ПДн должны быть заранее определены оператором.
Информация, обрабатываемая в рамках данного основания, соответствует положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.
Определён порядок, позволяющий соблюсти требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах).
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-СУД3

Определён порядок, позволяющий соблюсти требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах).
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-СУД4
В процессы интегрировано требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах).

Правовое основание: обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве

ПО-ИСП1

Определён порядок, позволяющий соблюсти требование к применимости и допустимости осуществления обработки ПДн в рамках правового основания:
- Указанная обработка является применимым правовым основанием (т.е. не должно быть иного обязательного для использования основания).
- Обеспечивается соответствие принципам обработки ПДн:
  - содержание и объём обрабатываемых в рамках данного основания ПДн не должен быть избыточным по отношению к цели обработки;
  - цели обработки ПДн должны быть заранее определены оператором.
- Информация, обрабатываемая в рамках данного основания, соответствует положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-ИСП2
В процессы интегрировано требование к применимости и допустимости осуществления обработки ПДн в рамках правового основания только в случае, если:

Указанная обработка является применимым правовым основанием (т.е. не должно быть иного обязательного для использования основания).
Обеспечивается соответствие принципам обработки ПДн:
- содержание и объем обрабатываемых в рамках данного основания ПДн не должен быть избыточным по отношению к цели обработки;
- цели обработки ПДн должны быть заранее определены оператором.
Информация, обрабатываемая в рамках данного основания, соответствует положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.

ПО-ИСП3

Определён порядок, позволяющий соблюсти требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве).
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-ИСП4
В процессы интегрировано требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве).

Правовое основание: обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно

ПО-ЖЗ1

Определён порядок, позволяющий соблюсти к требование к применимости и допустимости осуществления обработки ПДн в рамках правового основания:
- Указанная обработка является применимым правовым основанием:
  - не должно быть иного обязательного для использования основания;
  - невозможно получение согласия субъекта.
- Обеспечивается соответствие принципам обработки ПДн:
  - содержание и объём обрабатываемых в рамках данного основания ПДн не должен быть избыточным по отношению к цели обработки;
  - цели обработки ПДн должны быть заранее определены оператором.
- Информация, обрабатываемая в рамках данного основания, соответствует положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-ЖЗ2
В процессы интегрировано требование к применимости и допустимости осуществления обработки ПДн в рамках правового основания только в случае, если:

Указанная обработка является применимым правовым основанием:
- не должно быть иного обязательного для использования основания;
- невозможно получение согласия субъекта.
Обеспечивается соответствие принципам обработки ПДн:
- содержание и объём обрабатываемых в рамках данного основания ПДн не должен быть избыточным по отношению к цели обработки;
- цели обработки ПДн должны быть заранее определены оператором.
Информация, обрабатываемая в рамках данного основания, соответствует положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.

ПО-ЖЗ3

Определён порядок, позволяющий соблюсти требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно).
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-ЖЗ4
В процессы интегрировано требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно).

Правовое основание: обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн (далее - законный интерес)

ПО-ЗИ1

Определён порядок, позволяющий соблюсти к требование к применимости и допустимости осуществления обработки ПДн в рамках правового основания:
- Указанная обработка является применимым правовым основанием (т.е. не должно быть иного обязательного для использования основания).
- Обеспечивается соответствие принципам обработки ПДн:
  - содержание и объём обрабатываемых в рамках данного основания ПДн не должен быть избыточным по отношению к цели обработки;
  - цели обработки ПДн должны быть заранее определены оператором.
- Информация, обрабатываемая в рамках данного основания, соответствует положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-ЗИ2
В процессы интегрировано требование к применимости и допустимости осуществления обработки ПДн в рамках правового основания только в случае, если:

Указанная обработка является применимым правовым основанием (т.е. не должно быть иного обязательного для использования основания).
Обеспечивается соответствие принципам обработки ПДн:
- содержание и объём обрабатываемых в рамках данного основания ПДн не должен быть избыточным по отношению к цели обработки;
- цели обработки ПДн должны быть заранее определены оператором.
Информация, обрабатываемая в рамках данного основания, соответствует положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.

ПО-ЗИ3

Определён порядок, позволяющий соблюсти требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн).
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-ЗИ4
В процессы интегрировано требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн).

Правовое основание: обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн

ПО-ТД1

Определён порядок, позволяющий соблюсти требование к применимости и допустимости осуществления обработки ПДн в рамках правового основания:
- Указанная обработка является применимым правовым основанием (т.е. не должно быть иного обязательного основания).
- Обеспечивается соответствие принципам обработки ПДн:
  - содержание и объём обрабатываемых в рамках данного основания ПДн не должен быть избыточным по отношению к цели обработки;
  - цели обработки ПДн должны быть заранее определены оператором.
- Информация, обрабатываемая в рамках данного основания, соответствует положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-ТД2
В процессы интегрировано требование к применимости и допустимости осуществления обработки ПДн в рамках правового основания только в случае, если:

Указанная обработка является применимым правовым основанием (т.е. не должно быть иного обязательного основания).
Обеспечивается соответствие принципам обработки ПДн:
- содержание и объём обрабатываемых в рамках данного основания ПДн не должен быть избыточным по отношению к цели обработки;
- цели обработки ПДн должны быть заранее определены оператором.
Информация, обрабатываемая в рамках данного основания, соответствует положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.

ПО-ТД3

Определён порядок, позволяющий соблюсти требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн).
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-ТД4
В процессы интегрировано требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн).

Правовое основание: обработка ПДн, полученных в результате обезличивания, осуществляется в целях предусмотренных Федеральным законом от 24.04.2020 года № 123-ФЗ "О проведении эксперимента по установлению специального регулирования..." (далее - 123-ФЗ) и Федеральным законом от 31.07.2020 года № 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в РФ

ПО-ЭР1

Определён порядок, позволяющий соблюсти требование к применимости и допустимости осуществления обработки ПДн в рамках правового основания:
- Указанная обработка является применимым правовым основанием (т.е. не должно быть иного обязательного основания).
- Обеспечивается соответствие принципам обработки ПДн:
  - содержание и объём обрабатываемых в рамках данного основания ПДн не должен быть избыточным по отношению к цели обработки;
  - цели обработки ПДн должны быть заранее определены оператором.
- Информация, обрабатываемая в рамках данного основания, соответствует положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования. | ст

ПО-ЭР2
В процессы интегрировано требование к применимости и допустимости осуществления обработки ПДн в рамках правового основания только в случае, если:

Указанная обработка является применимым правовым основанием (т.е. не должно быть иного обязательного основания).
Обеспечивается соответствие принципам обработки ПДн:
- содержание и объём обрабатываемых в рамках данного основания ПДн не должен быть избыточным по отношению к цели обработки;
- цели обработки ПДн должны быть заранее определены оператором.
Информация, обрабатываемая в рамках данного основания, соответствует положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.

ПО-ЭР3

Определён порядок, позволяющий соблюсти требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – обработка ПДн в рамках экспериментальных режимов).
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-ЭР4
В процессы интегрировано требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – обработка ПДн в рамках экспериментальных режимов).

Правовое основание: осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ

ПО-ОПБ1

Определён порядок, позволяющий соблюсти к требование к применимости и допустимости осуществления обработки ПДн в рамках правового основания:
- Указанная обработка является применимым правовым основанием (т.е. не должно быть иного обязательного основания).
- Обеспечивается соответствие принципам обработки ПДн:
  - содержание и объём обрабатываемых в рамках данного основания ПДн не должен быть избыточным по отношению к цели обработки;
  - цели обработки ПДн должны быть заранее определены оператором.
- Информация, обрабатываемая в рамках данного основания, соответствует положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-ОПБ2
В процессы интегрировано требование к применимости и допустимости осуществления обработки ПДн в рамках правового основания:

Указанная обработка является применимым правовым основанием (т.е. не должно быть иного обязательного для использования основания)
Обеспечивается соответствие принципам обработки ПДн:
- содержание и объём обрабатываемых в рамках данного основания ПДн не должен быть избыточным по отношению к цели обработки;
- обрабатываемые ПДн в рамках данного основания ПДн действительно подлежат обязательному опубликованию;
- цели обработки ПДн должны быть заранее определены оператором;
- цели обработки ПДн должны соответствовать целям размещения ПДн в источнике;
Информация, обрабатываемая в рамках данного основания, соответствует положениям уведомления, политики/ЛНА в части целей обработки ПДн, категорий субъектов ПДн, чьи ПДн обрабатываются, действий, совершаемых с ПДн, категорий и перечня обрабатываемых на основании договора ПДн, действий (операций), совершаемых с ПДн.

ПО-ОПБ3

Определён порядок, позволяющий соблюсти требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ.).
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПО-ОПБ4
В процессы интегрировано требование к предоставлению доказательств наличия правового основания на обработку (в данном случае – обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ).

Источник получения ПДн

ИППД1

Должен быть определён порядок, позволяющий соблюсти требование к допустимости получения оператором ПДн не от субъекта ПДн при условии предоставления оператору подтверждений наличия оснований обработки ПДН.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ИППД2

В процессы интегрировано требование к допустимости получения оператором ПДн не от субъекта ПДн при условии предоставления оператору подтверждений наличия оснований обработки ПДН.

Определён порядок, позволяющий соблюсти требование к допустимости обработки ПДн, полученных из открытых источников (СМИ, источники в сети интернет, к которым не ограничен доступ), при наличии правового основания обработки таких ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

Источник получения ПДн: открытые источники

ИППД-ОИ1

Определён порядок, позволяющий соблюсти требование к допустимости обработки ПДн, полученных из открытых источников (СМИ, источники в сети интернет, к которым не ограничен доступ), при наличии правового основания обработки таких ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ИППД-ОИ2
Проверяемый результат:
В процессы интегрировано требование к допустимости обработки ПДн, полученных из открытых источников (СМИ, источники в сети интернет, к которым не ограничен доступ), только при наличии правового основания обработки таких ПДн.

Источник получения ПДн: общедоступные источники

ИППД-ОБЩ1

Определён порядок, позволяющий соблюсти требование к допустимости обработки ПДн, полученных из общедоступных источников ПДн (справочники, адресные книги), только при наличии правовых оснований.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ИППД-ОБЩ2
В процессы должно быть интегрировано требование к допустимости обработки ПДн, полученных из общедоступных источников ПДн (справочники, адресные книги), только при наличии правовых оснований.

Поручение обработки ПДн

О-ПРЧ1

Определён порядок, позволяющий соблюсти следующие требования к поручению на обработку ПДн:
- В поручении должны быть установлены:
  - обязанность лица, осуществляющего обработку ПДн по поручению оператора, соблюдать конфиденциальность ПДн, требования, предусмотренные ч. 5 ст.18 и ст.18.1 ФЗ-152;
  - обязанность лица, осуществляющего обработку ПДн по поручению оператора, по запросу оператора ПДн в течение срока действия поручения оператора, в т.ч. до обработки ПДн, предоставлять документы и иную информацию, подтверждающую принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с ч. 3 ст. 6 ФЗ-152;
  - обязанность обеспечивать безопасность ПДн при их обработке.
- В поручении должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 ФЗ-152, в т.ч. требование об уведомлении оператора о случаях, предусмотренных ч. 3.1 ст. 21 ФЗ-152.
- Ответственность
  - В случае, если оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несёт оператор. Лицо, осуществляющее обработку ПДн по поручению оператора, несёт ответственность перед оператором.
  - В случае, если оператор поручает обработку ПДн иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом ПДн за действия указанных лиц несёт оператор и лицо, осуществляющее обработку ПДн по поручению оператора.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

О-ПРЧ2

В процессы интегрированы следующие требования к поручению на обработку ПДн:
- В поручении должны быть установлены:
  - обязанность лица, осуществляющего обработку ПДн по поручению оператора, соблюдать конфиденциальность ПДн, требования, предусмотренные ч. 5 ст.18 и ст.18.1 ФЗ-152;
  - обязанность лица, осуществляющего обработку ПДн по поручению оператора, по запросу оператора ПДн в течение срока действия поручения оператора, в т.ч. до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с ч. 3 ст. 6 ФЗ-152;
  - обязанность обеспечивать безопасность ПДн при их обработке.
- В поручении должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 ФЗ-152, в т.ч. требование об уведомлении оператора о случаях, предусмотренных ч. 3.1 ст. 21 ФЗ-152.
- В поручении определена ответственность сторон, в т.ч.:
  - в случае, если оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несёт оператор. Лицо, осуществляющее обработку ПДн по поручению оператора, несёт ответственность перед оператором;
  - в случае, если оператор поручает обработку ПДн иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом ПДн за действия указанных лиц несёт оператор и лицо, осуществляющее обработку ПДн по поручению оператора.

Передача ПДн без поручения

О-ПБП1

Определён порядок, позволяющий обеспечить правомерность передачи ПДн и их безопасность (конфиденциальность, целостность, доступность) в рамках модели «оператор-оператор».
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

* Не касается работников, т.к. работники – меры ОПД-Р.

О-ПБП2
В процессах соблюдается требование к правомерности передачи ПДн и обеспечению их безопасности (конфиденциальность, целостность, доступность) в рамках модели «оператор-оператор».

* Не касается работников, т.к. работники – меры ОПД-Р.

Трансграничная передача ПДн

ТППД1

Определён порядок, позволяющий выполнить требование к допустимости трансграничной передачи исключительно с учётом требований и ограничений, установленных законодательством, среди которых:
- Содержание уведомления соответствует 152-ФЗ.
- После направления уведомления, но до принятия Роскомнадзором решения об ограничении/запрете трансграничной передачи ПДн, оператор осуществляет трансграничную передачу ПДн на территорию указанных в уведомлении стран, являющихся сторонами Конвенции Совета Европы о защите ФЛ при автоматизированной обработке ПДн и в перечне Роскомнадзора.
- После направления уведомления оператор не осуществляет трансграничную передачу на территорию стран, не подпадающих под критерии п. 5.
- В случае принятия Роскомнадзором решения об ограничении трансграничной передачи ПДн оператор обеспечил уничтожение органом власти иностранного государства, иностранным ФЛ или ЮЛ ранее переданных ПДн в части, подпадающей под ограничения Роскомнадзора.
- В случае принятия Роскомнадзором решения о запрете трансграничной передачи ПДн оператор обеспечил уничтожение органом власти иностранного государства, иностранным ФЛ или ЮЛ ранее переданных ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ТППД2

До начала осуществления деятельности по трансграничной передаче ПДн оператор направил уведомление о намерении осуществлять трансграничную передачу ПДн в Роскомнадзор (уведомление направлено отдельно от уведомления о намерении осуществлять обработку ПДн/об изменениях в обработке ПДн).

Уведомление направлено в виде документа на бумажном носителе или в форме электронного документа и подписано уполномоченным лицом.

Содержание уведомления соответствует 152-ФЗ.
После направления уведомления, но до принятия Роскомнадзором решения об ограничении/запрете трансграничной передачи ПДн, оператор осуществляет трансграничную передачу ПДн только на территорию указанных в уведомлении стран, являющихся сторонами Конвенции Совета Европы о защите ФЛ при автоматизированной обработке ПДн и в перечне Роскомнадзора.
После направления уведомления оператор не осуществляет трансграничную передачу на территорию стран, не подпадающих под критерии п. 4.
В случае принятия Роскомнадзором решения об ограничении трансграничной передачи ПДн оператор обеспечивает уничтожение органом власти иностранного государства, иностранным ФЛ или ЮЛ ранее переданных ПДн в части, подпадающей под ограничения Роскомнадзора.
В случае принятия Роскомнадзором решения о запрете трансграничной передачи ПДн оператор обеспечивает уничтожение органом власти иностранного государства, иностранным ФЛ или ЮЛ ранее переданных ПДн.

Получение ПДн с территории ЕС, передача ПДн, полученных с территории ЕС, третьим лицам

ПД-ЕС1

Определён порядок для случаев получения ПДн с территории ЕС, а также передачи ПДн, полученных с территории ЕС, третьим лицам, позволяющий выполнить следующее: в случае, если к обработке ПДн применимы требования GDPR и оператор получает ПДн с территории ЕС, он должен удостовериться в наличии правовых оснований на обработку, включая передачу, хранение, в соответствии с GDPR, а также в соблюдении:
- принципов, касающихся обработки ПДн;
- особенностей обработки ПДн ребёнка в случае оказания услуг информационного общества, обработки специальных категорий ПДн, ПДн, касающихся судимостей и правонарушений, обработки, не требующей идентификации;
- прав субъектов ПДн, включая прозрачное информирование и коммуникации, а также режим осуществления прав субъекта ПДн;
- требований к предоставлению информации в случае сбора ПДн от субъекта ПДн и не от субъекта ПДн;
- прав на уточнение данных, удаление данных («право быть забытым»), ограничение обработки;
- обязанности уведомления относительно изменения или уничтожения ПДн или ограничения обработки;
- права на переносимость данных;
- права на возражение;
- требований к автоматизированному принятию решений в индивидуальных случаях, в том числе в случае профилирования;
- требований к выстраиванию отношений по модели «контролер-процессор»;
- требований к безопасности ПДн;
- требований к оценке воздействия на защиту ПДн, включая предварительную консультацию;
- требований к назначению инспектора по защите ПДн, осуществлению им своих задач;
- требований к передаче ПДн в третьи странам или международным организациям;
- иных требований, если применимо.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПД-ЕС2
В процессы интегрированы следующие требования для случаев получения ПДн с территории ЕС, а также передачи ПДн, полученных с территории ЕС, третьим лицам.

В случае, если к обработке ПДн применимы требования GDPR и оператор получает ПДн с территории ЕС, он должен удостовериться в наличии правовых оснований на обработку, включая передачу, хранение в соответствии с GDPR, а также в соблюдении:

принципов, касающихся обработки ПДн;
особенностей обработки ПДн ребёнка в случае оказания услуг информационного общества, обработки специальных категорий ПДн, ПДн, касающихся судимостей и правонарушений, обработки, не требующей идентификации;
прав субъектов ПДн, включая прозрачное информирование и коммуникации, а также режим осуществления прав субъекта ПДн;
требований к предоставлению информации в случае сбора ПДн от субъекта ПДн и не от субъекта ПДн;
прав на уточнение данных, удаление данных («право быть забытым»), ограничение обработки;
обязанности уведомления относительно изменения или уничтожения ПДн или ограничения обработки;
права на переносимость данных;
права на возражение;
требований к автоматизированному принятию решений в индивидуальных случаях, в том числе в случае профилирования;
требований к выстраиванию отношений по модели «контролер-процессор»;
требований к безопасности ПДн;
требований к оценке воздействия на защиту ПДн, включая предварительную консультацию;
требований к назначению инспектора по защите ПДн, осуществлению им своих задач;
требований к передаче ПДн в третьи странам или международным организациям;
иных требований, если применимо.

Получении ПДн с территории иностранного государства (не ЕС), передача ПДн, полученных с территории иностранного государства (не ЕС), третьим лицам

ПД-ИНГ1
В процессы интегрированы следующие требования для случаев получения ПДн с территории иностранного государства (не ЕС), а также передачи ПДн, полученных с территории иностранного государства (не ЕС), третьим лицам в части (если применимо):

оснований обработки, в том числе передачи ПДн;
принципов, касающихся обработки ПДн;
особенностей обработки ПДн;
прав субъектов ПДн;
уточнения, уничтожения ПДн;
выстраивания отношений по модели «оператор-оператор» или «оператор-обработчик»;
обеспечения безопасности ПДн;
и пр., если применимо.

ПД-ИНГ2
В процессы интегрированы следующие требования для случаев получения ПДн с территории иностранного государства (не ЕС), а также передачи ПДн, полученных с территории иностранного государства (не ЕС), третьим лицам в части (если применимо):

оснований обработки, в том числе передачи ПДн;
принципов, касающихся обработки ПДн;
особенностей обработки ПДн;
прав субъектов ПДн;
уточнения, уничтожения ПДн;
выстраивания отношений по модели оператор-оператор или оператор-обработчик;
обеспечения безопасности ПДн;
и пр., если применимо.

Права субъектов ПДн

ПСПД1

Определён порядок, в соответствии с которым выполняется требование в части соблюдения прав субъекта на доступ к его ПДн, среди которых:
- При сборе ПДн субъекту, по его просьбе, должны предоставляться сведения, предусмотренные ч. 7 ст. 14 152-ФЗ с учетом ограничений ч. 8 ст. 14 152-ФЗ.
- Сведения должны предоставляться в доступной форме и не должны содержать информацию, относящуюся к другим субъектам ПДн. В случае обратного у оператора имеются законные основания для раскрытия таких ПДн.
- Сведения должны предоставляться в определённые ч. 3 ст. 14 152-ФЗ сроки. В случае продления сроков, должны соблюдаться требования ч. 3 ст. 14 152-ФЗ.
- У субъекта должна быть возможность направить запрос в форме электронного документа с подписанием электронной подписью.
- Сведения должны быть предоставлены субъекту ПДн или его представителю в той форме, в которой направлены соответствующее обращение или запрос, если иное не указано в обращении или запросе.
- Должно соблюдаться требование, согласно которому у субъекта ПДн должна быть возможность обратиться повторно (с учётом установленных ч. 4, 5 ст. 14 152-ФЗ сроков).
- В случае, если компания-оператор отказывает субъекту ПДн в удовлетворении повторного запроса, отказ оператора должен быть мотивированным и подтверждаться соответствующими доказательствами обоснованности отказа.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПСПД2
В процессах выполняются следующие требования:

При сборе ПДн субъекту по его просьбе должны предоставляться сведения, предусмотренные ч. 7 ст. 14 152-ФЗ с учётом ограничений ч. 8 ст. 14, ч. 4 ст. 18 152-ФЗ.
Сведения должны предоставляться в доступной форме и не должны содержать информацию, относящуюся к другим субъектам ПДн. В случае обратного у оператора имеются законные основания для раскрытия таких ПДн.
Сведения должны предоставляться в определённые ч. 3 ст. 14 152-ФЗ сроки. В случае продления сроков, должны соблюдаться требования ч. 3 ст. 14 152-ФЗ.
У субъекта должна быть возможность направить запрос в форме электронного документа с подписанием электронной подписью.
Сведения должны быть предоставлены субъекту ПДн или его представителю в той форме, в которой направлены соответствующее обращение или запрос, если иное не указано в обращении или запросе.
Должно соблюдаться требование, согласно которому у субъекта ПДн должна быть возможность обратиться повторно (с учётом установленных ч. 4, 5 ст. 14 152-ФЗ сроков).
В случае, если компания-оператор отказывает субъекту ПДн в удовлетворении повторного запроса, отказ оператора должен быть мотивированным и подтверждаться соответствующими доказательствами обоснованности отказа.

ПСПД3

Определён порядок, позволяющий соблюдать права субъектов ПДн при обработке их ПДн в целях продвижения товаров, работ, услуг, а также в целях политической агитации.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПСПД4
В процессы интегрированы требования, позволяющие соблюдать права субъектов ПДн при обработке их ПДн в целях продвижения товаров, работ, услуг, а также в целях политической агитации.

ПСПД5

Определён порядок, позволяющий соблюдать права субъектов ПДн при принятии решений на основании исключительно автоматизированной обработки ПДн, в том числе:
- Запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы (далее – Решение), за исключением случаев ч . 2 ст. 16 152-ФЗ.
- Должно соблюдаться требование, согласно которому решение может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия субъекта ПДн в письменной форме или в случаях, предусмотренных законодательством, которое устанавливает меры по обеспечению соблюдения прав и законных интересов субъектов ПДн.
- В случае принятия Решений должно соблюдаться требование, согласно которому оператор обязан разъяснить субъекту ПДн порядок принятия Решений, возможные юридические последствия, а также предоставить возможность заявить против такого решения и разъяснить порядок защиты субъектом ПДн своих прав и законных интересов.
- Должны соблюдаться сроки рассмотрения возражений субъектов ПДн, установленные ч. 4 ст. 16 152-ФЗ.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПСПД6
В процессы интегрированы требования, позволяющие соблюдать права субъектов ПДн при принятии решений на основании исключительно автоматизированной обработки ПДн, в том числе:

Не принимаются на основании исключительно автоматизированной обработки ПДн решения, порождающие юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы (далее – Решение), за исключением случаев ч. 2 ст. 16 152-ФЗ.
Решение принимается на основании исключительно автоматизированной обработки его ПДн только при наличии согласия субъекта ПДн в письменной форме или в случаях, предусмотренных законодательством, которое устанавливает меры по обеспечению соблюдения прав и законных интересов субъектов ПДн.
В случае принятия Решений оператор разъясняет субъекту ПДн порядок принятия Решений, возможные юридические последствия, а также предоставляет возможность возразить против такого решения и разъяснить порядок защиты субъектом ПДн своих прав и законных интересов.
Соблюдаются сроки рассмотрения возражений субъектов ПДн, установленные ч. 4 ст. 16 152-ФЗ.

ПСПД7

Определён порядок, позволяющий соблюсти требование к разъяснению оператором субъекту ПДн юридических последствий отказа предоставить ПДн и/или дать согласие на их обработку в случае, если компания осуществляет обработку ПДн, когда получение ПДн и/или согласия на обработку ПДн является обязательным.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПСПД8
В процессы интегрировано требование к разъяснению оператором субъекту ПДн юридических последствий отказа предоставить ПДн и/или дать согласие на их обработку в случае, если компания осуществляет обработку ПДн, когда получение ПДн и/или согласия на обработку ПДн является обязательным (то есть осуществляется разъяснение).

ПСПД9

Определён порядок, позволяющий соблюсти следующие требование: если ПДн получены не от субъекта ПДн, оператор, за исключением случаев, предусмотренных ч. 4 ст. 18 152-ФЗ, обязан предоставить субъекту ПДн информацию, предусмотренную ч. 3 ст. 18 152-ФЗ.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПСПД10
В процессы интегрировано требование: если ПДн получены не от субъекта ПДн, оператор, за исключением случаев, предусмотренных ч. 4 ст. 18 152-ФЗ, обязан предоставить субъекту ПДн информацию, предусмотренную ч. 3 ст. 18 152-ФЗ (т.е. в случае получения ПДн не от субъекта ПДн предоставляется информация в соответствии с ч. 3 ст. 18 152-ФЗ).

ПСПД11

Определён порядок, позволяющий субъекту ПДн реализовать возможность отозвать согласие на обработку ПДн, а оператору – выполнить обязанность в части обработки обращений субъекта, связанных с отзывом согласия.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПСПД12
Процессы выстроен так, что у субъекта ПДн имеется возможность отозвать согласие на обработку ПДн, а у оператора – выполнить обязанность в части обработки обращений субъекта, связанных с отзывом согласия.

ПСПД13

Определён порядок, позволяющий субъекту ПДн реализовать возможность направить требование о прекращении обработки ПДн, а оператору – выполнить обязанность по обработке такого требования.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПСПД14
Процесс выстроен таким образом, чтобы у субъекта ПДн имелась возможность направить требование о прекращении обработки ПДн, а у оператора – выполнить обязанность по обработке такого требования.

Особенности обработки ПДн работников

ОПД-Р1

Определён порядок, позволяющий выполнить требования ст. 86 ТК РФ, включая следующие:
- обработка ПДн работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
- все ПДн работника следует получать у него самого. Если ПДн работника возможно получить только у третьей стороны, то работник должен быть уведомлён об этом заранее и от него должно быть получено письменное согласие. При этом работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа работника дать письменное согласие на их получение;
- работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям ПДн, за исключением случаев, предусмотренных ТК РФ, иными применимыми НПА;
- работодатель не имеет права получать и обрабатывать ПДн работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ, иными применимыми НПА;
- при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПДн работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
- защита ПДн работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счёт его средств;
- работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки ПДн работников, а также об их правах и обязанностях в этой области;
- работодатели, работники и их представители должны совместно вырабатывать меры защиты ПДн работников.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ОПД-Р2
В процессы интегрированы требования ст. 86 ТК РФ, в том числе:

обработка ПДн работника фактически осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
все ПДн работника работодатель получает у него самого. Если ПДн работника возможно получить только у третьей стороны, тогда работодатель уведомляет работника об этом заранее, от работника при этом получается письменное согласие. При этом работодатель сообщает работнику о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа работника дать письменное согласие на их получение;
работодатель не получает и не обрабатывать сведения о работнике, относящиеся к специальным категориям ПДн, за исключением случаев, предусмотренных ТК РФ, иными применимыми НПА;
работодатель не получает и не обрабатывает ПДн работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ, иными применимыми НПА;
при принятии решений, затрагивающих интересы работника, работодатель не основывается на ПДн работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
защита ПДн работника от неправомерного их использования или утраты обеспечивается работодателем за счёт его средств;
работодатель должен ознакомить работников и их представителей под подпись с документами работодателя, устанавливающими порядок обработки ПДн работников, а также об их правах и обязанностях в этой области;
работодатели, работники и их представители совместно вырабатывают меры защиты ПДн работников.

ОПД-Р3

Определён порядок, позволяющий выполнить требования ст. 88 ТК РФ, включая:
- перед передачей ПДн работника третьей стороне необходимо получить письменное согласие работника (исключение – случаи, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ и иными применимыми законами);
- для того, чтобы сообщить ПДн работника в коммерческих целях, работодатель должен получить согласие работника в письменной форме, в отсутствие согласия в письменной форме работодатель (его работники, лица, представляющие интересы работодателя) не вправе сообщать ПДн работника в коммерческих целях;
- в случае передачи ПДн работника третьим лицам должно соблюдаться требование о том, что необходимо:
  - предупредить лиц, получающих ПДн работника, о том, что полученные ПДн могут быть использованы исключительно в тех целях, для которых они сообщены, с соблюдением режима конфиденциальности (за исключением случаев, установленных ТК РФ и иными применимыми законами);
  - требовать подтверждения соблюдения правила к использованию ПДн в целях, для которых они сообщены;
- передача ПДн в пределах одной компании осуществляется в соответствии с ЛНА компании, работник при этом должен быть ознакомлен под подпись с такими ЛНА;
- доступ к ПДн работников могут получить только специально уполномоченные лица, при этом они должны иметь право получать только те ПДн работника, которые необходимы для выполнения конкретных функций;
- работодатель не вправе запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- допускается передавать ПДн работника представителям работников в порядке, установленном ТК РФ и иными федеральными законами, и ограничивать эту информацию только теми ПДн работника, которые необходимы для выполнения указанными представителями их функций.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ОПД-Р4
В процессы интегрированы требования ст. 88. ТК РФ (передача ПДн работника), в том числе:

перед передачей ПДн работника третьей стороне работодатель получает письменное согласие работника (исключение – случаи, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ и иными применимыми законами);
для того, чтобы сообщить ПДн работника в коммерческих целях, работодатель получает согласие работника в письменной форме, в отсутствие согласия в письменной форме работодатель (его работники, лица, представляющие интересы работодателя) не вправе сообщать ПДн работника в коммерческих целях;
в случае передачи ПДн работника третьим лицам, соблюдается требование о том, что необходимо:
- предупредить лиц, получающих ПДн работника, о том, что полученные ПДн могут быть использованы исключительно в тех целях, для которых они сообщены, с соблюдением режима конфиденциальности (за исключением случаев, установленных ТК РФ и иными применимыми законами;
- требовать подтверждения соблюдения правила к использованию ПДн в целях, для которых они сообщены;
передача ПДн в пределах одной компании осуществляется в соответствии с ЛНА компании, работника при этом ознакомляют под подпись с такими ЛНА;
доступ к ПДн работников получают только специально уполномоченные лица, при этом они получают только те ПДн работника, которые необходимы для выполнения конкретных функций;
работодатель не запрашивает информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
передача ПДн работника представителям работников осуществляется только в порядке, установленном ТК РФ и иными федеральными законами, при этом передаваемые ПДн содержат только те сведения, которые необходимы для выполнения представителями их функций.

ОПД-Р5

Определён порядок, позволяющий соблюдать права работников, установленные ст. 89 ТК РФ (права работников), включая следующие права:
- на полную информацию о своих ПДн и обработке;
- на свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей ПДн работника, за исключением случаев, предусмотренных НПА;
- на определение своих представителей по вопросам защиты ПДн;
- на доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
- на реализацию требования об исключении или исправлении неверных или неполных ПДн, а также данных, обработанных с нарушением требований ТК РФ, иного федерального закона;
- на подачу заявления о несогласии с отказом работодателя об исключении или исправлении неверных или неполных ПДн, а также данных, обработанных с нарушением требований ТК РФ, иного федерального закона;
- на направление заявления, выражающего точку зрения работника по ПДн оценочного характера;
- на реализацию требования об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПДн работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ОПД-Р6
В процессы интегрированы требования ст. 89 ТК РФ к соблюдению прав работников, включая права:

на полную информацию о своих ПДн и обработке;
на свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей ПДн работника, за исключением случаев, предусмотренных НПА;
на определение своих представителей по вопросам защиты ПДн;
на доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
на реализацию требования об исключении или исправлении неверных или неполных ПДн, а также данных, обработанных с нарушением требований ТК РФ, иного федерального закона;
на подачу заявления о несогласии с отказом работодателя об исключении или исправлении неверных или неполных ПДн, а также данных, обработанных с нарушением требований ТК РФ, иного федерального закона;
на направление заявления, выражающего точку зрения работника по ПДн оценочного характера;
на реализацию требования об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПДн работника, обо всех произведённых в них исключениях, исправлениях или дополнениях.

ОПД-Р7

Определён порядок, позволяющий привлекать лиц, виновных в нарушении требований к обработке ПДн работника, к дисциплинарной и материальной ответственности в порядке с учётом требований ТК РФ, иных применимых НПА.
Отсутствуют положения/обстоятельства, которые не позволяют привлекать к дисциплинарной или материальной ответственности виновных в нарушении требований к обработке ПДн лиц.

ОПД-Р8
В процессы интегрированы требования, позволяющие привлекать лиц, виновных в нарушении требований к обработке ПДн работника, к дисциплинарной и материальной ответственности в порядке с учетом требований ТК РФ, иных применимых НПА.

Локализация баз данных в РФ

Л-БД1
При сборе ПДн, в том числе посредством интернета, оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 152-ФЗ.

Л-БД2
При сборе ПДн, в том числе посредством интернета, оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 152-ФЗ.

Обеспечение безопасности персональных данных

Б-ПД1
На основании определённых угроз сформирован (а) перечень (модель) угроз, что подтверждается документом.

Б-ПД2
Имеются акты или иные документы, в которых определены уровень защищенности ИСПДн и применимые меры по нейтрализации актуальных угроз.

Б-ПД3

Определён порядок, в соответствии с которым осуществляется контроль за принимаемыми мерами по обеспечению уровня защищенности ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

Б-ПД4
Контроль за принимаемыми мерами по обеспечению безопасности осуществляется в соответствии с требованиями законодательства.

Б-ПД5

Определён порядок, позволяющий выполнить требования к назначению структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

Б-ПД6
Определено структурное подразделение или назначено должностное лицо, ответственное за обеспечение безопасности ПДн, определены функции структурного подразделения/должностного лица по обеспечению безопасности.

Б-ПД7
Определён порядок, позволяющий обеспечить выполнение автоматической регистрации в электронном журнале безопасности изменения полномочий работника оператора по доступу к ПДн, содержащимся в информационной системе.

Б-ПД8
Определён порядок, позволяющий выполнить требование к ограничению доступ к содержанию электронного журнала сообщений c ПДн.

Б-ПД9
Определён порядок, позволяющий организовать режим обеспечения безопасности помещений, в которых размещены информационные системы, реализовать его соблюдение.

Б-ПД10
Определён порядок, позволяющий обеспечивать сохранность носителей ПДн.

Б-ПД11
Определён порядок, в соответствии с которым определяется перечень лиц, допущенных к обработке ПДн в информационных системах, в том числе имеется утверждённый руководителем компании актуальный документ, определяющий перечень лиц, имеющий доступ к обработке ПДн в ИС и необходимый им для выполнения обязанностей.

Б-ПД12
Определён перечень лиц, допущенных к обработке ПДн в информационных системах, т.е.:

фактические доступы работников соответствуют документу по мере Б-ПД11;
отсутствует избыточность предоставляемых доступов.

Б-ПД13

Определён порядок, устанавливающий следующее: допускается применять для нейтрализации актуальных угроз СЗИ, прошедшие в установленном порядке процедуру оценки соответствия.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования в части допустимости применения для нейтрализации актуальных угроз только СЗИ, прошедших в установленном порядке процедуру оценки соответствия.

Б-ПД14
Для нейтрализации актуальных угроз применяются СЗИ, прошедшие в установленном порядке процедуру оценки соответствия.

Б-ПД15

Определён порядок, которым предусмотрена допустимость проведения оценки эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования в части допустимости проведения оценки эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн.

Б-ПД16
Оценка эффективности принимаемых мер по обеспечению безопасности ПДн фактически проводится до ввода в эксплуатацию ИСПДн. Наличие подтверждения проверки эффективности принимаемых мер по обеспечению безопасности ПДн до ввода ИСПДН в эксплуатацию.

Б-ПД17

Определён порядок учета МНИ в соответствии с требованиями законодательства.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования к учёту МНИ.

Б-ПД18
Определён порядок обнаружения фактов НСД к ПДн и принятия мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн.

Б-ПД19
Определён порядок, позволяющий обеспечить восстановление ПДн, модифицированных или уничтоженных вследствие НСД.

Б-ПД20
Установлены правила доступа к ПДн, обеспечена регистрация и учёт всех действий, совершаемых с ПДн.

Б-ПД21

Определён порядок, в соответствии с которым обеспечивается взаимодействие с ГосСОПКА.
Отсутствуют положения/обстоятельства, которые не позволяют обеспечить взаимодействие.

Б-ПД22
Взаимодействие с ГосСОПКа осуществляется в установленном применимым законодательством порядке.

Б-ПД23

Определён порядок, в соответствии с которых выполняется требование в части предоставления в Роскомнадзор информации по инцидентам с ПДн в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют обеспечить взаимодействие.

Б-ПД24
Обеспечено предоставление в Роскомнадзор информации по инцидентам с ПДн в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн.

Оценка вреда

ОЦ-В1

Определён порядок, в соответствии с которым проводится оценка вреда, который может быть причинён субъектам ПДн, в случае нарушения 152-ФЗ, а также соотношение указанного вреда и принимаемых мер.
Отсутствуют положения/обстоятельства, которые не позволяют проводить оценку вреда в соответствии с требованиями законодательства.

ОЦ-В2
Проводится оценка вреда, который может быть причинён субъектам ПДн, в случае нарушения 152-ФЗ, а также соотношение указанного вреда и принимаемых мер.

Неавтоматизированная обработка ПДн

НА-О1

Должен быть определён порядок, в соответствии с которым осуществляется неавтоматизированная обработка ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют осуществлять неавтоматизированную обработку в соответствии с требованиями законодательства.

НА-О2
ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях ПДн.

НА-О3
При фиксации ПДн на материальных носителях выполняется требование о недопустимости фиксации на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы.

НА-О4
Обеспечено раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.

(!) Учесть случай, описанный в мере НА-О10.

НА-О5
При обработке различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн используется отдельный материальный носитель.

НА-О6
Осуществляется разделение обработки ПДн, зафиксированных на одном материальном носителе, и иной информации, не являющейся ПДн.

НА-О7
Лица, осуществляющие обработку ПДн без использования средств автоматизации (в т.ч.работники оператора, лица, осуществляющие такую обработку по договору с оператором), проинформированы о факте обработки ими ПДн, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных НПА и ЛНА (при наличии).

НА-О8
Соблюдаются требования ПП РФ №687 при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн.

НА-О9
Соблюдаются требования ПП РФ №687 при ведении журналов (реестров, книг), содержащих ПДн, необходимые для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях.

НА-О10
Проверяемый результат:
Принимаются меры по обеспечению раздельной обработки ПДн при несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн.

НА-О11
Обработка ПДн, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

НА-О12
При хранении материальных носителей обеспечивается сохранность ПДн и исключен несанкционированный к ним доступ в соответствии с перечнем мер, необходимых для обеспечения условий сохранности ПДн и исключения несанкционированного к ним доступа, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер.

НА-О13
При уничтожении или обезличивании части ПДн в определённых законодательством случаях на одном носителе сохраняется возможность обработки иных данных, зафиксированных на материальном носителе.

Уточнение ПДн

У-ПД1

Определён порядок, в соответствии с которым в случае подтверждения факта неточности ПДн компания-оператор на основании сведений, представленных субъектом ПДн или его представителем либо Роскомнадзором, или иных необходимых документов уточняет ПДн либо обеспечивает их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в течение установленных 152-ФЗ сроков.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

У-ПД2
В случае подтверждения факта неточности ПДн компания-оператор на основании сведений, представленных субъектом ПДн или его представителем либо Роскомнадзором, или иных необходимых документов уточняет ПДн либо обеспечивает их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в течение установленных 152-ФЗ сроков.

Блокирование ПДн

БЛ1

Определён порядок, в соответствии с которым в случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо Роскомнадзора оператор обязан осуществить блокирование неправомерно обрабатываемых ПДн субъекта или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

БЛ2
В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо Роскомнадзора осуществляется блокирование неправомерно обрабатываемых ПДн субъекта или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.

БЛ3

Определён порядок, в соответствии с которым в случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу Роскомнадзора оператор обязан осуществить блокирование ПДн субъекта или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

БЛ4
В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу Роскомнадзора осуществляется блокирование ПДн субъекта или обеспечение их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

БЛ5

Определён порядок, в соответствии с которым оператор снимает блокирование ПДн после устранения неточных ПДн (в т.ч. применимо к случаям, когда ПДн обрабатывает другое лицо по поручению оператора).
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

БЛ6
Оператор выполняет обязанность по снятию блокирования ПДн после устранения неточных ПДн (в т.ч. применимо к случаям, когда ПДн обрабатывает другое лицо по поручению оператора).

Прекращение обработки ПДн

ПРО-ПД1

Определён порядок, в соответствии с которым в случае выявления неправомерной обработки ПДн, осуществляемой оператором или лицом, действующим по поручению оператора, оператор обязан:
- в сроки, установленные 152-ФЗ, прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению оператора;
- об устранении допущенных нарушений уведомить субъекта ПДн или его представителя и, если применимо, Роскомнадзор.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПРО-ПД2
Оператор выполняет следующие требования:

в сроки, установленные 152-ФЗ, прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению оператора;
об устранении допущенных нарушений уведомить субъекта ПДн или его представителя и, если применимо, Роскомнадзор.

ПРО-ПД3

Определён порядок, в соответствии с которым в случае достижения цели обработки ПДн и отсутствия иных оснований на их обработку оператор обязан прекратить обработку ПДн или обеспечивает её прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора).
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПРО-ПД4
В случае достижения цели обработки ПДн и отсутствия иных оснований на их обработку оператор прекращает обработку ПДн или обеспечить её прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора).

ПРО-ПД5

Определён порядок, в соответствии с которым в случае отзыва субъектом ПДн согласия на обработку его ПДн оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора).
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПРО-ПД6
В случае отзыва субъектом ПДн согласия на обработку его ПДн оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора).

ПРО-ПД7

Определён порядок, в соответствии с которым в случае обращения субъекта ПДн к оператору с требованием о прекращении обработки ПДн, оператор, при отсутствии иных основания обработки ПДн, обязан в сроки, установленные 152-ФЗ, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн по поручению).
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

ПРО-ПД8
В случае обращения субъекта ПДн к оператору с требованием о прекращении обработки ПДн, оператор, при условии, что отсутствуют иные основания обработки ПДн, в сроки, установленные 152-ФЗ, прекращает их обработку или обеспечивает прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн по поручению).

Уничтожение ПДн

УН-ПД1

Определён порядок, в соответствии с которым в случае, если обеспечить правомерность обработки ПДн невозможно, оператор в сроки, установленные 152-ФЗ, обязан уничтожить такие ПДн или обеспечивает их уничтожение.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

УН-ПД2
В случае, если обеспечить правомерность обработки ПДн невозможно, оператор в сроки, установленные 152-ФЗ, уничтожает такие ПДн или обеспечивает их уничтожение.

УН-ПД3

Определён порядок, в соответствии с которых оператор уведомляет субъекта ПДн и/или его представителя, и/или Роскомнадзор об уничтожении ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

УН-ПД4
Оператор выполняет обязанность по уведомлению субъекта ПДн или его представителя и, если применимо, Роскомнадзор об уничтожении ПДн.

УН-ПД5

Определён порядок, в соответствии с которым в случае достижения цели обработки ПДн и отсутствия иных оснований обработки ПДн оператор обязан прекратить обработку ПДн или обеспечить её прекращение (ПРО-ПД2) и уничтожить ПДн или обеспечить их уничтожение (если такая обработка осуществляется лицом, осуществляющим обработку ПДн) в сроки, установленные 152-ФЗ.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

УН-ПД6
В случае достижения цели обработки ПДн и отсутствия иных оснований обработки ПДн оператор прекращает обработку ПДн или обеспечивает её прекращение (ПРО-ПД2) и уничтожает ПДн или обеспечивает их уничтожение (если такая обработка осуществляется лицом, осуществляющим обработку ПДн) в сроки, установленные 152-ФЗ.

УН-ПД7

Определён порядок, в соответствии с которым в случае отзыва субъектом ПДн согласия на обработку его ПДн оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (ПРО-ПД3) и, если сохранение ПДн более не требуется для целей обработки ПДн и отсутствуют иные основания обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если такая обработка осуществляется лицом, осуществляющим обработку ПДн) в сроки, установленные 152-ФЗ.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

УН-ПД8
В случае отзыва субъектом ПДн согласия на обработку его ПДн оператор прекращает их обработку или обеспечивает прекращение такой обработки (ПРО-ПД3) и, если сохранение ПДн более не требуется для целей обработки ПДн и отсутствуют иные основания обработки ПДн, уничтожает ПДн или обеспечивает их уничтожение (если такая обработка осуществляется лицом, осуществляющим обработку ПДн) в сроки, установленные 152-ФЗ.

УН-ПД9

Определён порядок, в соответствии с которым в случае отсутствия возможности уничтожения ПДн в течение сроков, установленных 152-ФЗ, оператор обязан произвести блокирование таких ПДн или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен законодательством.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования.

УН-ПД10
В случае отсутствия возможности уничтожения ПДн в течение сроков, установленных 152-ФЗ, оператор производит блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен законодательством.

УН-ПД11

Определён порядок подтверждения фактов уничтожения ПДн.
Отсутствуют положения/обстоятельства, которые не позволяют выполнить требования

УН-ПД12
Подтверждение уничтожения ПДн осуществляется в соответствии с требованиями, установленными Роскомнадзором:

наличие документальных подтверждений уничтожения ПДн;
используемые документальные подтверждения соответствуют требованиям, установленным Роскомнадзором.

Методика осуществления контроля соблюдения законодательства РФ области персональных данных

Методический документ

Группы областей

Список требований