Рабочая встреча туристического и отельного бизнеса со специалистамми Роскомнадзора 27 ноября 2018
27 ноября 2018 года состоялась рабочая встреча специалиста Управления с представителями турбизнеса и отельерами Новосибирска по вопросам, связанным с изменениями в законодательстве и практике правонарушений.
Благодарим за огранизацию мероприятия НГУЭиУ и лично Нюренберг Л. Б.
Приложение к протоколу проведения мероприятия по контролю за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных в отношении
Перечень документов, представление которых необходимо для достижения целей и задач проведения проверки
С целью проверки соблюдения проверяемым юридическим лицом (далее − Оператор) необходимо, чтобы Оператор представил следующие документы или заверенные копии документов в пронумерованном порядке, полностью совпадающим с нумерацией соответствующего пункта Перечня.
I. Общие сведения
1.1. Копия документа о назначении законного представителя Оператора, уполномоченного представлять интересы юридического лица при проведении проверки.
1.2. Справка о статусе Оператора как субъекта малого предпринимательства с
указанием типа предприятия (малое предприятие, микропредприятие, иное).
1.3. Копия Устава юридического лица.
По каждому из видов деятельности Оператора, перечисленных в Уставе юридического лица:
1.3.1. Перечислить категории субъектов ПДн, ПДн которых обрабатываются;
1.3.2. Перечислить обрабатываемые категории ПДн отдельно по каждой категории субъектов ПДн;
1.3.3. Указать цели обработки ПДн по каждой категории субъектов Пдн;
1.3.4. Указать информационные системы ПДн (далее − ИСПДн), в которой осуществляется обработка ПДн, отдельно по каждой категории субъектов ПДн, дать их описание и назначение;
1.3.5. Указать правовое основание обработки ПДн (согласие, договор, норма/статья/пункт закона или подзаконного акта).
1.4. Документы, позволяющие установить адрес местонахождения, территориальное расположение зданий, сооружений, помещений, офисов и т.п., принадлежащих Оператору либо арендуемых Оператором и сдаваемых в субаренду другим лицам. Приложить копии договоров аренды со всеми приложениями в отношении адреса фактического осуществления деятельности, документы и схемы, позволяющие точно разграничить офисные помещения (рабочие места). используемые Оператором единолично и/или совместно с субарендаторами.
1.5. Копия штатного расписания.
1.6. Справка, в соответствии со штатным расписанием, о структурных подразделениях, в которых Оператором организована обработка ПДн: их адрес местонахождения, этаж, № кабинета, контактный телефон.
1.7. Копии следующих документов и локальных актов:
1.7.1. О назначении ответственного за организацию обработки ПДн. Копия должностного регламента (должностные обязанности) или должностная инструкция ответственного за организацию обработки ПДн;
1.7.2. Документы, определяющие политику Оператора в отношении обработки ПДн;
1.7.3. Все изданные Оператором действующие локальные акты, отражающие следующие вопросы обработки ПДн (в случае издания общего документа, указать соответствующий пункт, раздел и т.п.):
1.7.3.1. Цели обработки ПДн;
1.7.3.2. Правое основание обработки ПДн (согласие, договор, норма/статья/пункт закона или подзаконного акта);
1.7.3.3. Категории субъектов ПДп, чьи ПДн обрабатываются;
1.7.3.4. Категории ПДн по каждой категории субъектов ПДн соответственно;
1.7.3.5. Срок обработки ПДн субъектов ПДН;
1.7.3.7. Срок хранения ПДн субъектов ПДн;
1.7.3.8. Условия уничтожения ПДн субъектов ПДн и порядок его осуществления, копии актов об уничтожении ПДн;
1.7.3.9. Перечень лиц, имеющих доступ к ПДн субъектов ПДн.
1.7.4. Копии локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
1.7.5. Копии документов, подтверждающих применение правовых, организационных и технических мер по обеспечению безопасности ПДн;
1.7.6. Копии документов, подтверждающих осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн Федеральному закону "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике оператора в отношении обработки ПДн, локальным актам Оператора.
1.8. Копии документов и локальных актов, подтверждающих выполнение Оператором требований Положения об обработки ПДн, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства от 15.09.2008 № 687:
1.8.1. Типовые формы документов, характер информации в которых предполагает или допускает включение в них ПДн;
1.8.2. Копии журналов (реестров, книг), содержащих ПДн, необходимых для однократного пропуска субъекта ПДн на территорию, на которой находится Оператор;
1.8.3. Копии документов, устанавливающих места хранения ПДн (материальных носителей);
1.8.4. Копии документов, устанавливающих перечень лиц, осуществляющих обработку ПДн, либо имеющих к ним доступ;
1.8.5. Копии документов, устанавливающих необходимость раздельного хранения ПДн (материальных носителей), обработка которых осуществляется в различных целях;
1.8.6. Копии документов, устанавливающих перечень мер, необходимых для обеспечения сохранности ПДн и исключающих несанкционированный к ним доступ при хранении материальных носителей;
1.8.7. Копии документов, устанавливающих перечень лиц, ответственных за реализацию мер, необходимых для обеспечения сохранности ПДн и исключающих несанкционированный к ним доступ при хранении материальных носителей;
1.8.8. Копии документов, подтверждающих информирование лиц, осуществляющих обработку ПДн без использования средств автоматизации (сотрудников Оператора и (или) лиц, осуществляющих такую обработку по договору с Оператором) о факте обработки ими ПДн, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актам и федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Оператора (при их наличии).
1.9. Сведения, подтверждающие правомерность осуществления трансграничной передачи персональных данных.
1.10. Сведения, подтверждающие правомерность осуществления обработки ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.
1.11. Справка о порядке получения Оператором согласия субъекта ПДн на предоставление доступа неограниченному кругу лиц к его ПДн в случае необходимости такого доступа;
1.12. Типовые формы документов, характер информации в которых предполагает или допускает включение в них Пдн, используемых Оператором;
1.13. Копии договоров, одной из сторон которых является субъект ПДн;
1.14. Копии договоров, заключенных с третьими лицами, касающихся поручения на обработку ПДн.
1.15 Копии обращений от граждан (за два последних календарных года, включая текущий) по вопросам уточнения, удаления, уничтожения ПДн, рассмотренные Оператором. Копии ответов Оператора и принятые меры по обращениям граждан с приложением копий документов о принятых мерах.
2. Информационные системы ПДн
2.1 Перечень информационных систем ПДн, обрабатываемых ПДн всех категорий субъектов ПДн. Сведения о местонахождении (адрес) баз данных иформации Оператора, содержащих персональные данные граждан Российской Федерации. Описание информационных систем, с указанием наименования, версии ПО, разработчика ПО, места нахождения компонент.
2.2. Источники получения ПДн по каждой категории субектов ПДн соответственно (сам субъект их предоставил или они получены другим законным путем).
2.3. Перечень категорий ПДн субъектов ПДн обрабатываемых в ИСПДн.
2.4. Описание и назначение ИСПДн, в которой осуществляется обработка ПДн по каждой категории субъектов ПДн. Инструкция к ИСПДн, руководство пользователя и любые аналогичные документы по функционалу ИСПДн, порядку доступа, резервирования.
2.5. Перечень операций, действий, совершаемых с ПДн субъектов ПДн в ИСПДн.
2.6. Описание порядка обработки ПДн (пошаговое описание порядка ввода, сбора, загрузки, хранения, чтения, использования, передачи, доступа, распространения, изменения, удаления, уничтожения) в ИСПДн по каждой категории субъектов ПДн соответственно.
2.7. Информация о порядке резервного копирования информации, включая периодичность копирования, порядок и места хранения резервных копий и порядок уничтожения резервных копий.
2.8. Описание технологического и информационного сопровождения ИСПДн.
3. Интернет-сервисы
3.1. Справка об используемых на сайтах Оператора интернет-сервисах, разработанных и принадлежащих Оператору, а также разработанных и принадлежащих сторонним организациям, с помощью которых обрабатываются данные о посетителях и пользователях сайтов Оператора, с указанием назначения и функционала интернет-сервисов.
3.2. Перечень данных, обрабатываемых (сбор, использование и т.п.) посредством интернет-сервисов. Приложить копии договоров, заключенных с указанными в п. 3.1 сторонними организациями и все изданные приложения к договорам.
3.3. Справка о функционале используемых интернет-сервисов в части, касающейся сбора данных о посетителях на сайтах и в мобильных приложениях Оператора, отдельно по каждому сервису.
3.4. Перечень данных о посетителях и зарегистрированных пользователях сайтов и мобильных приложений Оператора, получаемых при помощи указанных сервисов, отдельно по каждому сервису. Приложить подтверждающие документы.
3.5. Сведения о базах данных (их адрес, кому принадлежат) на которых хранятся данные, полученные с помощью интернет-сервисов, когда и как уничтожаются данные.
3.6. Копии документов и локальных актов, изданных Оператором по вопросам обработки ПДн пользователей мобильных программных пользователей мобильных программных приложений Оператора. Копии технической документации но функционалу мобильных приложений Оператора. Справку о содержании данных пользователей, обрабатываемых в мобильных приложениях Оператора для операционных систем iОS, Аndroid, Windows, с указанием мест хранения данных, целей обработки, лиц, которым данные передаются, сроках обработки и хранения, порядка и условий уничтожения.
3.7. Копии договоров со всеми приложениями, заключенные с третьими лицами, на основании которых оказываются услуги рекламного характера, осуществляется передача данных посетителей, пользователей сайтов, клиентов (физических лиц) Оператора. Копии договоров, на основании которых осуществляется передача статистических обезличенных данных, полученных после агрегации и любой другой модификации (изменения) данных посетителей, пользователей сайтов, клиентов Оператора.
Под данными посетителей и зарегистрированных пользователей сайтов и мобильных приложений Оператора понимаются все данные о посетителях, собираемые с помощью функционала указанных сервисов, а также те данные, которые сервисы сами собирают и обрабатывают на своих вычислительных мощностях, а именно: псевдоним пользователя; адрес пользователя или адрес устройства пользователя, посредством которого пользователь зашел на сайт Оператора, а также сведения о пользователе, включающие iр-адрес, поисковые запросы пользователя, интернет-адреса веб-страниц, посещаемых пользователем; тематику информации, размещенной на посещаемых пользователем интернет-ресурсах Оператора; идентификатор пользователя, преобразованный Оператором при помощи хеш-функции или других модификаций; географический адрес точки подключения пользователя к сети Интернет; информация, не позволяющая однозначно идентифицировать пользователя или конкретное физическое лицо, но обеспечивающая формирование достаточного для предоставления пользователю рекламной информации.
Количество просмотров документа: 976