Роскомнадзор - пакет документов № 15

Санкции за отсутствие или несоответствие:

Административная ответственность за нарушения в области защиты персональных данных установлена статьей 13.11 КоАП РФ. 

Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями их сбора влечет предупреждение или наложение штрафа:

• на граждан в размере от 1000 до 3000 рублей
• на должностных лиц – от 5000 до 10 000 рублей
• на юридических лиц – от 30 000 до 50 000 рублей

Обработка персональных данных без согласия в письменной форме в случаях, когда оно должно быть получено в соответствии с законодательством РФ в области персональных данных (если эти действия не содержат уголовно наказуемого деяния), либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме влечет:

• наложение административного штрафа на граждан в размере от 3000 до 5000 рублей
• на должностных лиц – от 10 000 до 20 000 рублей
• на юридических лиц – от 15 000 до 75 000 рублей

Невыполнение предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся их обработки, влечет предупреждение или наложение штрафа:

• на граждан в размере от 1000 до 2000 рублей
• на должностных лиц – от 4000 до 6000 рублей
• на юридических лиц – от 20 000 до 40 000 рублей

Несоблюдение сроков выполнения требований по защите прав субъектов персональных данных об их уточнении, блокировании или уничтожении, когда данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет предупреждение или наложение административного штрафа:

• на граждан в размере от 1000 до 2000 рублей
• на должностных лиц – от 4000 до 10 000 рублей
• на юридических лиц – от 25 000 до 45 000 рублей

Невыполнение требований по сохранности персональных данных при их обработке без использования средств автоматизации, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение штрафа:

• на граждан в размере от 700 до 2000 рублей
• на должностных лиц – от 4000 до 10 000 рублей
• на юридических лиц – от 25 000 до 50 000 рублей

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов влечет предупреждение или наложение штрафа на должностных лиц в размере от 3000 до 6000 рублей

Уголовная ответственность предусмотрена за следующие правонарушения:

Незаконное собирание или распространение с использованием служебного положения сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ может повлечь (ст. 137 УК РФ):

• штраф в размере от 100 000 до 300 000 рублей
• лишение права занимать определенные должности на срок от двух до пяти лет
• принудительные работы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет или без такового)
• арест на срок до шести месяцев
• лишение свободы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет)

За неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы пациента, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам пациента медицинской организации грозит (ст. 140 УК РФ):

• штраф до 200 000 рублей
• лишение права занимать определенные должности на срок от двух до пяти лет

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование предусматривает:

• штраф до 200 000 рублей
• исправительные работы на срок до одного года
• ограничение свободы на срок до двух лет
• принудительные работы на срок до двух лет
• лишение свободы на тот же срок

Кроме того, медицинскую организацию могут привлечь к гражданско-правовой ответственности за причинение пациенту морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных (ст. 24 Закона № 152-ФЗ; ст. 151 ГК РФ). Ответственность предусматривает компенсацию морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Состав пакета:

1. Приказ о персональных  данных
2. Правила обработки и организации защиты персональных данных
3. Согласие на обработку персональных данных работника
4. Обязательство о  неразглашении  персональных  данных  субъектов
5. Инструкция о  порядке  ведения  и  хранения  журнала  учета  обращений субъектов  ПДН  по  вопросам  обработки  их  ПДН  в  ИСПДН
6. Образец журнала учета обращений субъектов персональных данных по вопросам обработки их персональных данных в информационной системе персональных данных
7. Пример списка лиц, имеющих доступ к неавтоматизированной обработке и обработке в информационных системах персональных данных субъектов (клиентов, работников)
8. Пример мест хранения персональных данных
9. Пример списка лиц допущенных к работе с сервером
10. Политика конфиденциальности персональной информации
11. Приказ об утверждении правил осуществления внутреннего  контроля соответствия  обработки персональных данных 
12. Правила осуществления внутреннего контроля соответствия обработки персональных данных в ООО  требованиям к защите персональных данных
13. Состав комиссии по проведению внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
14. Форма акта внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
15. Положение о комиссии по проведению внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
16. Приказ  об утверждении и введении в действие положения  о коммерческой тайне   
17. Положение о коммерческой тайне        
18. Обязательство о  неразглашении  коммерческой  тайны
19. Приказ об организации видеонаблюдения (при наличии)
20. Положение о видеонаблюдении
21. Список лиц допущенных  к просмотру материалов видеонаблюдения в режиме реального времени
22. Алгоритм деятельности по видеонаблюдению для должностных лиц, работников
23. Приказ об утверждении правил оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных
24. Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных
25. Приказ  о мероприятиях  по защите персональных данных
26. План мероприятий по защите информационной системы персональных данных
27. Положение об организации режима безопасности помещений – мест хранения персональных данных
28. Перечень информационных систем персональных данных, эксплуатируемых в ООО / ИП
29. Инструкция  пользователей и технология обработки информации 
30. Порядок резервирования и восстановления работоспособности технических средств  и программного обеспечения, баз данных и средств защиты информации
31. Форма согласия на обработку персональных данных (клиентов, работников)
32. Форма заявления об отзыве согласия на обработку персональных данных (клиентов, работников)