Акт об уничтожении персональных данных №____

Комиссия в составе:

Председатель (должность, ФИО) ____________________________________________

Члены комиссии (должность, ФИО) ___________________________________________

__________________________________________________________________________

провела отбор бумажных, электронных, магнитных и оптических носителей персональных данных и установила, что в соответствии с требованиями руководящих документов по защите информации указанные носители и информация, записанная на них в процессе эксплуатации, подлежит гарантированному уничтожению и составила настоящий акт о том, что произведено уничтожение носителей персональных данных:

 

№	Дата	Тип носителя	Примечание

 

Уничтожение информации произведено ______________ (способ уничтожения: стирания на устройстве гарантированного уничтожения информации и т.п.), гарантирующим полное уничтожение персональных данных.

Перечисленные носители персональных данных уничтожены путем (разрезания, сжигания, механического уничтожения и т.п.)

_____________________________________________________________________.

Подписи:

Председатель комиссии: ____________ / _____________

Члены комиссии: ____________ / _____________

                            ____________ / _____________

 

III. В случае если вы не согласны с ответом организации, в ответ на обращение приходит отписка, информация дана не по существу, рассмотрение заявления было формальным, дальнейшие действия могут быть следующими:

1. обращение к начальнику того должностного лица, который направил ответ, не устраивающий гражданина (заявителя) с требованием разобраться в сложившейся ситуации. В случае неудовлетворительного вас ответа обращаться в надзорные органы, приобщив копии ответов должностного лица и начальника этого лица.

2. сразу, минуя п. 1, обращаться в надзорные органы (какие именно это органы будет информация ниже по тексту). К обращению приобщается копия неудовлетворительного ответа организации.

Заявление в надзорные органы (и не только в надзорные) пишется строго по существу, без эмоций, поясняя шаг за шагом ситуацию. Недопустимо содержание в обращении нецензурные либо оскорбительные выражения, угрозы жизни, здоровью и имуществу должностного лица, а также членов его семьи (ст. 11 59-ФЗ).

Согласно ст. 10 59-ФЗ государственный орган, орган местного самоуправления или должностное лицо обязаны обеспечить объективное, всестороннее и своевременное рассмотрение обращения гражданина, дать письменный ответ по существу поставленных в обращении вопросов. В случае нарушения порядка рассмотрения обращений должностными лицами государственных органов, органов местного самоуправления, государственных и муниципальных учреждений и иных организаций, на которые возложено осуществление публично значимых функций, предусмотрена ответственность согласно ст. 5.59 КоАП РФ.

В шапке заявления целесообразно указать сразу всех получателей, таким образом каждый из получателей видит, что задействованы несколько адресатов, что увеличивает эффективность обращения, дисциплинирует и обязывает каждого адресата внимательнее отнестись к обращению (жалобе). Далее заявление размножается в зависимости от количества получателей. Не забывайте, что в случае личной подачи заявления и у вас на руках должен остаться собственный экземпляр с входящим номером поступившей в организацию канцелярии.

IV. Подробнее о регуляторах (надзорных органах) в сфере защиты информации и ПДн.

Защита персональных данных становится задачей каждой компании. На эти компании ложатся определенные обязанности – от разработки документации до установки соответствующего программного обеспечения. На определенные государственные ведомства возложены задачи по контролю над соблюдением законодательства, действующего в этой сфере.

Действующее законодательство указывает на три ведомства Российской Федерации, на которые возложена обязанность контролировать выполнение юридическими лицами того, что требует от них закон, чтобы эффективно защищать персональные данные граждан. Это такие государственные органы:

1) Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) https://rkn.gov.ru/;

2) Федеральная служба по техническому и экспортному контролю (ФСТЭК) https://fstec.ru/;

3) Федеральная служба безопасности (ФСБ) http://www.fsb.ru/.

Согласно законодательству, проверки организаций, являющихся операторами по обработке ПДн, могут быть плановыми и внеплановыми.

Плановая проверка может быть назначена не ранее чем по прохождении трех лет с момента регистрации или подачи уведомления о работе с персональными данными. Каждый оператор всегда может знать, будут ли в отношении него производиться плановые проверочные мероприятия.

А вот внеплановая проверка соблюдения правил защиты ПДн может быть назначена только при наличии веских причин. Это:

a. наличие заявления гражданина о нарушении его прав или противоправной деятельности, которую ведет компания;

b. сообщение об этом правоохранительного органа;

c. неисполнение предписания, выданного проверяющей организацией по результатам предыдущей плановой проверки;

d. нарушение законодательства, регулирующего сферу защиты ПДн и другие.

Как видим, гражданин, который близко ознакомился с деятельностью организации (оператора), и нашедший нарушения, вполне может стать инициатором внеплановой проверки. Особенно если это коснулось безопасности его ПДн, а оператор отказал в прошении отзыва согласия гражданина.

Важно, что внепланово проверяющие ведомства могут прийти в компанию только при наличии согласия органов прокуратуры. Если обращение гражданина, которое могло бы стать основой для проведения проверки, не содержит данных, которые могли бы помочь установить его личность, например, в нем проставлена неразборчивая подпись или отсутствует почтовый адрес, такое заявление не может быть положено в основу проведения проверки.

О внеплановых проверяющие ведомства обязаны их уведомить не позднее чем за 24 часа. Однако, если деятельность оператора вышла за рамки закона и таким нарушением был причинен вред человеку, его здоровью или жизни (например, утечка данных стала причиной нападения), то в этом случае уведомлять о проверке не требуется, она проводится незамедлительно после установления такого факта.

На практике чаще всего проверки соблюдения законодательства по хранению и обработке ПДн проводятся Роскомнадзором. Все три уполномоченные организации достигли взаимопонимания и в порядке межведомственного взаимодействия иногда проводят совместные контрольные мероприятия в отношении одного и того же субъекта, распределяя между собой зоны ответственности и объекты проверок. Роскомнадзор отвечает за общее соблюдение законодательства, ФСТЭК и ФСБ контролируют соблюдение специальных лицензионных требований.

1. Роскомнадзор. Ведомство отвечает за большой круг правоотношений, связанных с информационными технологиями и использованием сети Интернет. Оно проверяет, насколько точно организации выполняют требования, связанные с обработкой и хранением ПДн, защитой прав субъектов. Ведомство вправе проверить те данные, которые компания указала в уведомлении о начале занятия видом деятельности, связанным с обработкой ПДн.

Основываясь на законе о персональных данных (152-ФЗ), ведомство вправе:

a) запрашивать у граждан и организаций любую информацию, которая нужна ему для исполнения своих функций, и получать такие данные на безвозмездной основе;

b) проверять всю информацию, которую компания направила в государственный орган, сообщая о начале осуществления деятельности по ОПДн. Контроль проводится как непосредственно ведомством, так и с привлечением иных государственных структур, которые имеют полномочия на проверку указанных сведений;

c) при получении заявления гражданина или по иным причинам требовать от оператора блокировать, стереть или уточнить данные, не отвечающие требованиям достоверности или полученные нелегитимным способом;

d) в случае если обработка персональных данных не соответствует нормам и правилам, установленным для таких операций, самостоятельно, без переноса вопроса на решение суда, принимать решение о приостановке или запрете в дальнейшем заниматься ОПДн;

e) подавать в суды иски, предметом которых будет защита информационных и личных прав субъектов – носителей ПДн, представлять в суде интересы таких граждан;

f) направлять запрос в ведомство, выдавшее лицензию оператору на осуществление предпринимательской деятельности, связанной с обслуживанием ПДн, с просьбой приостановить ее действие или прекратить его, если одним из условий лицензирования был запрет на распространение или передачу ПДн, не заручившись подписанным их носителем разрешением;

g) писать официальные уведомления в прокуратуру и в органы следствия, направляя материалы, позволяющие решить вопрос о возбуждении уголовного дела, если были зафиксированы признаки деяния, предусмотренного УК РФ и имеющего отношение к неправомерному обращению с ПДн;

h) принимать обоснованные решения о привлечении операторов и иных лиц, некорректно использующих ПДн или совершающих иные правонарушения, к ответственности в рамках КоАП РФ.

 

2. ФСТЭК. Отвечает за техническое обеспечение системы защиты ПДн. Среди его полномочий:

a) запрос у оператора отчета по контролируемым видам деятельности и его проверка;

b) требование копий документов, подтверждающих соответствие используемой компьютерной техники и сертификатов на применяемое программное обеспечение;

c) запрос документации на помещения, подтверждающей то, что они оборудованы должным образом и гарантируют надлежащую защиту ПДн;

d) выезд на объект и контроль того, насколько эффективно применяются организационные меры, гарантирующие сохранность хранящихся там данных.

Инспекторы проверяют документы, которые подтверждают соблюдение организацией условий предоставления лицензий, а также ранее направленных компании обязательных для выполнения предписаний ФСТЭК.

Существует 2 типа проверок:

- документальная. Она происходит в ФСТЭК России или его управлении по тому или иному российскому федеральному округу на основании запрошенных документов и находящихся в них данных. Такой тип контрольных мероприятий может назначаться и в плановом, и во внеочередном, инициативном порядке;

- выездная. В ее рамках контролируется правильность выполнения требований, поставленных перед компанией в качестве условия выдачи лицензии. Она всегда происходит в офисе самой организации. Назначается этот тип проверочных мероприятий в том случае, когда документарную проверку провести не получается. Такая ситуация возникает тогда, когда те документы, которые есть у ФСТЭК, не позволяют достоверно проконтролировать соблюдение условий лицензии.

 

3. ФСБ. Также проводит контрольные мероприятия, призванные обеспечить точность и правильность соблюдения законодательства о работе с ПДн, но применительно к используемым субъектом проверки средствам криптографической защиты информации (СКЗИ). Это алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении. В сфере компетенции ФСБ оказываются:

a) запрос у операторов отчета по ведущимся им лицензируемым видам деятельности. Перечень вопросов и глубина контроля не ограничиваются нормативно, оператору нужно быть готовым дать полный отчет по всем аспектам выполнения лицензионных условий;

b) запрос копий документов, выдаваемых в качестве удостоверения соответствия используемых оператором технических средств защиты ПДн, в структуре которых находятся СКЗИ, установленным нормативными актами требованиям безопасности;

c) проверки точности и правильности выполнения предусмотренных лицензионными условиями организационных мер по обеспечению безопасности объектов, в которых происходит работа организации.

Нарушение требований по охране и обработке ПДн, защите прав субъектов ПДн станет основанием для приостановления или прекращения действия лицензии. Проверка может быть назначена только на основании приказа руководителя Центра 8 ФСБ России.

Важно, что полномочия ведомства законодательно ограничены. В ходе проведения проверок соблюдения законодательства по защите ПДн оно не вправе:

1) проверять правильность выполнения тех требований закона, которые к компетенции ведомства не относятся;

2) проводить мероприятия, если в этот период в компании отсутствует его директор или иное лицо, уполномоченное им на основании доверенности на взаимодействие с ведомством;

3) требовать передать копии документов, не имеющих отношения к предмету проверки, или изымать оригиналы документов;

4) распространять информацию, полученную в ходе проверки, если она относится к охраняемой законом категории тайн, например, банковской или коммерческой;

5) затягивать проверку по времени без вынесения мотивированного решения;

6) проводить контрольные мероприятия за счет компаний, выдавая им предварительно предписания об этом.

В ходе мероприятий ФСБ проверяет несколько видов требований, в основном технических.

К первой группе относятся требования по правильности применения организационных мер. Это:

· наличие документов, регламентирующих защиту оператором ПДн с использованием СКЗИ;

· выполнение ранее выданных рекомендаций ведомства, направленных на правильную организацию связи при передаче ПДн с применением СКЗИ.

Ко второй группе относятся требования по правильности организации системы мер по криптографической защите ПДн. Это:

a) наличие в организации модели угроз с указанием потенциальных нарушителей;

b) релевантность этой модели, соответствие ее ранее представленным вводным;

c) соответствие применяемых средств защиты угрозам, освещенным в модели;

d) существование документов, подтверждающих легитимную поставку СКЗИ, обеспечивающих защиту ПДн, оператору.

К третьей группе проверяемых объектов относится наличие на предприятии разрешительных документов, опосредующих методику защиты ПДн. Это:

1) проверка существования лицензий, необходимых для использования СКЗИ;

2) наличие сертификатов соответствия на приобретенные и используемые средства защиты ПДн;

3) наличие документации по эксплуатации этих средств, различных руководств оператора, инструкций, правил работы;

4) проверка соблюдения правил учета СКЗИ;

5) выявление средств, не имеющих необходимых сертификатов.

К четвертой группе проверяемых объектов относятся требования к лицам, допущенным к обслуживанию СКЗИ, обеспечивающих защиту ПДн. Это:

a. наличие должностных инструкций;

b. порядок кадрового учета;

c. наличие сотрудников на всех предусмотренных штатным расписанием должностях;

d. порядок проведения обучения персонала, работающего с СКЗИ.

К пятой группе объектов относятся способы эксплуатации средств защиты ПДн. Это:

a) оценка технического состояния;

b) правильность их ввода в эксплуатацию;

c) оценка правильности выбора применяемого программного обеспечения.

К шестой группе объектов относятся организационные меры, которые обязан применять оператор ПДн. Это:

1) наличие инструкций;

2) наличие криптоключей;

3) режимные меры.

Полномочия контролирующих органов достаточно широки. Но любое их решение оператор может оспорить в суде: как вынесенное предписание, так и протокол о привлечении к административной ответственности.

Внимательно ознакомьтесь с полномочиями каждого регулятора, чтобы правильно определить свои дальнейшие действия и обращения по факту нарушений. От этого зависит на сколько будут достигнуты ваши цели, связанные с отзывом согласия на ОПДн.

Необходимо напомнить и о надзорных органах отдельных отраслей, таких как:

1. Рособрнадзор - надзор в сфере образования и науки;

2. Росздравнадзор - контролем качества медико-социальной помощи населению;

3. Роспотребнадзор - надзор в сфере защиты прав потребителей и благополучия человека;

4. Роструд - контроль и надзор в сфере труда, занятости, альтернативной гражданской службы, специальной оценки условий труда и социальной защиты населения, оказанию государственных услуг в сфере содействия занятости населения и защиты от безработицы, трудовой миграции и урегулирования коллективных трудовых споров, а также по предоставлению социальных гарантий, установленных законодательством Российской Федерации для социально незащищенных категорий граждан;

5. Ространснадзор - надзор в сфере транспорта и так далее.

В зависимости от того, в какой сфере вы обращаетесь с отзывом и получаете отказ (отписку), подключайте нужный надзорный орган из списка выше. Или найдите в интернете необходимый в конкретной сфере.

И отдельно нужно сказать о Прокуратуре - надзор за соблюдением Конституции Российской Федерации и исполнением абсолютно всех законов, действующих на территории Российской Федерации.

 

V. Ответственность за несоблюдение законодательства в сфере защиты ПДн:

1. ст. 137 УК РФ «Нарушение неприкосновенности частной жизни» в случае если ваши ПДн обрабатываются без согласия (за исключением случаев, описанных в пунктах 2-11 ч. 1 ст. 6 152-ФЗ «О персональных данных», когда оператор имеет право обрабатывать ПДн без согласия субъекта) или продолжают обрабатываться после отзыва согласия: «Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Отягчающим обстоятельством по данному виду нарушений признается данное правонарушение, совершенное с использованием своего служебного положения»;

2. ст. 140 УК РФ «Отказ в предоставлении гражданину информации»: «Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан»;

3. ст. 272 УК РФ «Неправомерный доступ к компьютерной информации»: «Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации», усугубляется ответственность, если «То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности» и если деяния «совершены группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения». То есть речь идет о неправомерном доступе, в том числе из корыстных побуждений одним лицом, или группой лиц по предварительному сговору с использованием своего служебного положения к информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети;

4. ст. 5.39 КоАП РФ «Неправомерный отказ в предоставлении гражданину, в том числе адвокату в связи с поступившим от него адвокатским запросом, и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации»;

5. ст. 13.11 КоАП РФ Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Сюда входит:

- обработка ПДн, несовместимая с целями сбора ПДн;

- обработка ПДн без согласия в письменной форме субъекта ПДн;

- не опубликование оператором или необеспечение ознакомления с политикой обработки ПДн;

- непредоставление субъекту ПДн информации, касающейся обработки его ПДн;

- невыполнение оператором сроков по требованиям субъекта ПДн об уточнении его ПДн, их блокированию, уничтожению;

- несоблюдение оператором мер по сохранности ПДн субъекта при обработке ПДн без использования средств автоматизации (обработка на материальных носителях)

- невыполнение оператором обязанностей по обезличиванию ПДн, либо нарушение требований при их обезличивании;

- невыполнение оператором обеспечения записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения ПДн граждан с использованием баз данных, находящихся на территории РФ;

- повторное совершение административного правонарушения пункта;

6. ч. 2 ст. 13.12 КоАП РФ «Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну)». Выше, в разделе I, шла речь о запросе оператору, какие информационные системы задействованы для обработки ваших ПДн;

7. ч. 4 ст. 13.2 КоАП РФ Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну;

8.  ч. 4 ст. 13.2 КоАП РФ Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну;

9. ч. 1 ст. 13.13 КоАП РФ Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна);

10. ч. 2 ст. 13.13 КоАП РФ Занятие видами деятельности, связанными с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну без лицензии;

11. ст. 13.14 КоАП РФ Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей;

12. ч. 1 ст. 19.4 КоАП РФ Неповиновение законному распоряжению или требованию должностного лица органа, осуществляющего государственный надзор (контроль), а равно воспрепятствование осуществлению этим должностным лицом служебных обязанностей;

13. ч. 1 ст. 19.5 КоАП РФ Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства;

14.. 2 ст. 19.5 КоАП РФ Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа;

15. ст. 19.6 КоАП РФ Непринятие по постановлению (представлению) органа (должностного лица), рассмотревшего дело об административном правонарушении, мер по устранению причин и условий, способствовавших совершению административного правонарушения;

16. ст. 19.7 КоАП РФ Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьями 19.7.1, 19.8, 19.19 КоАП РФ.

 

VI. Нормативные правовые акты, касательно персональных данных и безопасности, выписки:

1. Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981г.);

2. Директива Европейского Союза № 2002/58/ЕС «О приватности и электронных коммуникациях»;

3. Федеральный закон Российской Федерации от 25.07.2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»;

4. Федеральный закон от 30.12.2015 г. № 439-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»;

5. Федеральный закон от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»;

6. Трудовой кодекс Российской Федерации от 30.12.2001 г. № 197-ФЗ - Глава 14 «Защита персональных данных работника»;

7. Указ Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

8. Указ Президента Российской Федерации от 30.05.2005 г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;

9. Указ Президента Российской Федерации от 17.03.2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;

10. Распоряжение Президента Российской Федерации от 10.07.2001 г. № 366-РП «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных»;

11. Постановление Правительства Российской Федерации от 21.03.2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

12. Постановление Правительства Российской Федерации от 03.11.1994 г. № 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использования атомной энергии и уполномоченном органе по космической деятельности»;

13. Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

14. Постановление Правительства Российской Федерации от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

15. Постановление Правительства РФ от 04.03.2010 г. № 125 «О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию»;

16. Приказ Роскомнадзора от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

17. Распоряжение Правительства Российской Федерации от 15.08.2007 г. № 1055-Р «О плане подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных»;

18. Приказ ФСБ России от 09.02.2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. Положение ПКЗ 2005)»;

19. Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

20. Приказ Минкомвязи России от 20.07.2017 г. № 373 "О признании утратившими силу приказов Министерства связи и массовых коммуникаций РФ" от 21 декабря 2011 №346, от 28 августа 2015 №315 и п.9 приказа Министерства связи и массовых коммуникаций РФ от 24 ноября 2014 №403;

21. Приказ Роскомнадзора от 30.05.2017 г. № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения»;

22. Приказ Роскомнадзора от 30.10. 2018 г. № 159 «О внесении изменений в Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 года № 94»;

23. Постановление Правительства Российской Федерации от 13.02.2019 № 146 "Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных"

24. Конституция РФ, ст. 23

25. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

26. Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

27. Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

28. Указ Президента РФ от 09.05.2017 № 203 «О Стратегии развития информационного общества в Российской Федерации на 2017 - 2030 годы» (в п. д) ч. 40 Указа имеет место следующая фраза «40. Основными задачами применения информационных и коммуникационных технологий для развития социальной сферы, системы государственного управления, взаимодействия граждан и государства являются: развитие технологий электронного взаимодействия граждан, организаций, государственных органов, органов местного самоуправления наряду с сохранением возможности взаимодействия граждан с указанными организациями и органами без применения информационных технологий»);

29. Федеральный закон от 19.12.2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

30. Выписка из Нюрнбергского процесса, проходившего с 20 ноября 1945 по 1 октября 1946 г, где описано, что цифровая идентификация личности человека является признанным преступлением против человечности. Смотреть выписку: https://yadi.sk/i/0-s2EFlkZcxFZQ.

31. Постановление Правительства от 30.06.2018 № 772 «Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации»;

32. Постановление Правительства от 19.08.2015 № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных»;

33. Приказ ФСБ России от 10.07.2014 № 378 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации»;

34. Методические рекомендации ФСБ РФ от 31.03.2015 № 149/7/2/6-432 «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности»;

35. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

36. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

37. Приказ Минкомсвязи от 25.06.2018 № 321 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации»;

38. Приказ Минкомсвязи от 25.06.2018 № 323 «Об утверждении форм подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных в целях проведения идентификации, требованиям к информационным технологиям и техническим средствам, предназначенным для указанных целей».

Большинство из списка взято из официального сайта Роскомнадзора https://77.rkn.gov.ru/law/p4735/.