Бесплатно · Без регистрации · 5 минут

Чек-лист соответствия 152-ФЗ

20 контролей по статьям 152-ФЗ, на которых чаще всего получают штрафы по ст. 13.11 КоАП. Живой подсчёт баллов, светофор-вердикт, письменный отчёт о пробелах. Сделано SLAtech LTD (с 2004 года).

0 / 20 отвечено
Балл: 0 / 40

1. Правовые основания обработки

152-ФЗ · ст. 6, 9, 10, 11
По каждой обработке ПДн зафиксировано правовое основание по ст. 6 ч.1 (согласие, договор, законная обязанность и т.д.).Основание соотнесено с конкретной целью обработки.
Письменное согласие на обработку получено там, где это требуется (специальные категории, биометрия, трансгран. передача, поручение третьим лицам).
Если обрабатываются специальные категории (ст. 10) или биометрические ПДн (ст. 11), есть отдельные согласия и усиленные меры защиты.
Сроки хранения ПДн определены и не превышают цель обработки; настроена процедура уничтожения по окончании срока.

2. Согласия и права субъектов

152-ФЗ · ст. 9, 14, 18, 21
Текст согласия конкретный, информированный и сознательный: указаны оператор, цели, перечень ПДн, способ обработки, срок и порядок отзыва.
Есть процедура отзыва согласия — субъект может отозвать его так же легко, как дал; уведомления и остановка обработки происходят в установленный срок.
Запросы субъектов на доступ / уточнение / блокирование / уничтожение обрабатываются в срок не более 30 дней (ст. 20 ч.1).
Политика обработки ПДн опубликована публично (на сайте) с неограниченным доступом — соответствует ст. 18.1 ч.2.

3. Уведомление Роскомнадзора и реестры

152-ФЗ · ст. 22, 22.1
Подано уведомление в Роскомнадзор о намерении осуществлять обработку ПДн (или применено исключение по ч.2 ст. 22).
Сведения в реестре операторов актуальны: при изменении целей, перечня ПДн или мер защиты в течение 10 рабочих дней подаётся информационное письмо.
Назначено ответственное лицо за организацию обработки ПДн (ст. 22.1) и его контакты опубликованы.
Настроена процедура уведомления Роскомнадзора об инциденте с ПДн в течение 24 часов (факт) и 72 часов (результаты внутреннего расследования).

4. Локализация и трансграничная передача

152-ФЗ · ст. 12, 18 п.5
Запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ выполняется в базах данных на территории РФ.
Если есть трансграничная передача — известно, в какие страны передаются ПДн, и эти страны обеспечивают адекватную защиту (или получено отдельное согласие).
До начала трансгран. передачи направлено уведомление в Роскомнадзор (по форме приказа № 178); получен ответ об отсутствии оснований для запрета.
Поручения на обработку ПДн третьим лицам (хостинг, аналитика, рассылки) оформлены договорами с обязательствами по защите.

5. Безопасность и технические меры

152-ФЗ · ст. 18.1, 19 · Приказы ФСТЭК № 21 / ФСБ № 378
Определён уровень защищённости ИСПДн (УЗ-1 / УЗ-2 / УЗ-3 / УЗ-4) по постановлению Правительства РФ № 1119.
Реализованы организационные и технические меры по приказу ФСТЭК России № 21 (модель угроз, СЗИ, разграничение доступа, регистрация событий).
Если используются криптографические средства защиты — соблюдены требования приказа ФСБ России № 378 (сертифицированные СКЗИ, согласованные с регулятором).
Регулярно (не реже 1 раза в 3 года) проводится внутренний аудит соответствия 152-ФЗ — есть отчёт с датой и подписью ответственного.