8 800 500-52-33 alfa@npc-ksb.ru
Помощь экспертов
Часто задаваемые вопросы

Часто задаваемые вопросы

База знаний Нормативно-правовая база
Об АльфаДок
Персональные данные
Государственные информационные системы
Объекты КИИ
Об АльфаДок
Об АльфаДок
АльфаДок – комплексное решение для управления процессами и мероприятиями по защите информации для органов государственной власти, местного самоуправления, медицинских и образовательных учреждений, иных бюджетных и коммерческих организаций любого масштаба.

Программный комплекс обеспечивает автоматизированную разработку и поддержание в актуальном состоянии организационно-распорядительной и технической документации:
  • по защите персональных данных;
  • по защите государственных информационных систем;
  • по защите объектов критической информационной инфраструктуры (в том числе значимых);
  • по эксплуатации криптосредств.
Также пользователям программного комплекса доступны функции ведения журналов в электронном виде, оценки готовности к проверкам регулирующих органов (Роскомнадзора, ФСТЭК России и ФСБ России), ведения учета плановых проверок регулирующих органов и внутренних проверок в организации, планирования событий и постановки задач. Доступность конкретных функций определяется типом лицензии. Во всех лицензиях доступна техническая и информационная поддержка пользователя.
Зачем нужен АльфаДок?
Государственные или муниципальные органы, юридические или физические лица, индивидуальные предприниматели становятся операторами персональных данных с момента, как только начинают обрабатывать персональные данные сотрудников (заключать трудовые договоры или собирать сведения о кандидатах на вакантное место), оказывать услуги клиентам/населению и т.д. Любой оператор персональных данных обязан выполнять требования законодательства в сфере персональных данных.

Но для этого сотрудникам оператора необходимо предварительно изучить нормативную правовую базу, самостоятельно разработать шаблоны документов, постоянно мониторить изменения законодательства и судебную практику. Если организация еще является и оператором государственной информационной системы или субъектом КИИ, задача по разработке и поддержке документации, управлению процессами и мероприятиями по информационной безопасности усложняется. АльфаДок поможет эффективно и своевременно выполнять требования законодательства по защите информации.
О бесплатном доступе в АльфаДок
Для тестирования бесплатной демонстрационной версии перейдите по ссылке https://alfa-doc.ru/ecosystem/alfa-doc/ и нажмите кнопку «Попробовать бесплатно».

В демо-версии Вы можете ознакомиться с содержимым проектов организационно-распорядительных, технических документов и форм журналов в режиме предварительного просмотра документов без возможности их скачивания. Бесплатный доступ к демонстрационной версии АльфаДок предоставляется на 7 дней.
Какие документы формируются в АльфаДок?
После внесения данных на всех шагах мастера опроса пользователи получают комплект документации, удовлетворяющий требованиям действующего законодательства и необходимый для успешного прохождения проверок регуляторов (Роскомнадзор, ФСТЭК России, ФСБ России):
  • в области защиты персональных данных;
  • в области защиты информации, не составляющей государственную тайну, содержащейся в государственных информационных системах;
  • по эксплуатации криптосредств;
  • по категорированию объектов критической информационной инфраструктуры.
Чтобы ознакомиться с перечнем формируемых на различных тарифах документов, перейдите в раздел «Нормативно-правовая база».
Где можно посмотреть примеры документов, которые формируются в АльфаДок?
Пользователи пробной демонстрационной версии могут ознакомиться с содержимым документов и журналов в режиме предварительного просмотра. Для тестирования бесплатной демонстрационной версии перейдите по ссылке https://alfa-doc.ru/ecosystem/alfa-doc/ и нажмите кнопку «Попробовать бесплатно».

Возможность выгрузки проектов организационно-распорядительной документации и форм журналов доступна организациям с коммерческой лицензией АльфаДок в разделе «Документы» в портфеле документов.
Могут ли Ваши сотрудники самостоятельно внести сведения в АльфаДок и сформировать документы?
Такая возможность существует в рамках разовой услуги «Экспертный аудит информационной безопасности». Аудит включает обследование информационных систем организации и разработку организационно-распорядительной документации экспертами ООО «НПЦ «КСБ».

Для получения дополнительной информации оставьте заявку на расчёт стоимости по ссылке, нажав кнопку «Отправить заявку» и заполнив форму. После обработки заявки наш менеджер свяжется с Вами.
Где можно почитать отзывы об АльфаДок?
Для ознакомления с отзывами клиентов АльфаДок об опыте работы с сервисом и о прохождении проверок регуляторов перейдите в раздел «Отзывы».
Есть ли какая-то инструкция по внесению сведений в профиль АльфаДок?

Для корректного внесения сведений в профиль в каждом разделе АльфаДок размещена ссылка на соответствующий раздел руководства пользователя. Полное содержание руководства пользователя расположено в разделе Меню/Помощь/База знаний/Руководство пользователя (в виде текста и в форме видеоматериалов). Также рядом с каждым полем для заполнения приведена справка с дополнительной информацией.

В случае возникновения дополнительных вопросов пользователи АльфаДок могут обратиться в Службу экспертной поддержки, наши эксперты проконсультируют Вас по вопросам внесения сведений в программный комплекс. 


Какая ответственность грозит за несоблюдение требований законодательства в области информационной безопасности?

Несоблюдение требований законодательства в сфере информационной безопасности может повлечь за собой дисциплинарную, гражданско-правовую, административную, уголовную и иную ответственность. Размер и характер санкций приведены в следующих материалах:

Мы сможем подготовиться к проверке Роскомнадзора с помощью АльфаДок?

Пакет документов, формируемый в АльфаДок, полностью удовлетворяет требованиям законодательства в области персональных данных, а также регулярно актуализируется экспертами сервиса в соответствии с изменениями законодательства. Это подтверждают многолетний опыт подготовки пользователей программного комплекса к проверкам Роскомнадзора и их отзывы.

Кроме того, пользователи АльфаДок при прохождении проверки Роскомнадзора (а также ФСТЭК России и ФСБ России) имеют право на экспертную консультационную поддержку специалистов АльфаДок:

  • по номеру горячей линии 8 800 500-52-33;
  • через Онлайн-Консультант (в правом нижнем углу экрана);
  • по адресу электронной почты alfa@npc-ksb.ru.
При условии своевременного внесения пользователем актуальных сведений в сервис, организация всегда будет готова к проверке Роскомнадзора.

Не получается скачать документы из системы. В чем может быть причина?

Скачивание документов доступно только для коммерческих тарифов. В случае, если Вы зарегистрировались в АльфаДок самостоятельно и тестируете систему, выгрузка документов будет Вам недоступна. Для ознакомления с содержанием документов на разделе «Документы», в подразделе «Портфель документов», на вкладке «ОРД по информационной безопасности» сформируйте пакет документов и нажмите на символ лупы.

Для получения дополнительных уточнений, пожалуйста, обратитесь в Службу экспертной поддержки АльфаДок по телефону горячей линии: 8 800 500-52-33. Для уточнения вопросов, возникающих в процессе приобретения, тестирования и эксплуатации АльфаДок, оставьте заявку по ссылке https://alfa-doc.ru/ecosystem/alfa-doc/, нажав на кнопку «Отправить заявку» и заполнив форму.

Персональные данные
Что такое персональные данные?
Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, субъекту ПДн (ст. 3 Федерального закона № 152-ФЗ «О персональных данных»).

Пример: совокупность фамилии, имени, отчества и сведений о месте работы уже является ПДн.
Что относится к биометрическим персональным данным?

В соответствии с ч. 1 ст. 11 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года к биометрическим персональным данным (далее – ПДн) относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.

Поскольку с недавних пор Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим ПДн и особенности их обработки» утратили силу, наши эксперты направляли соответствующий запрос в адрес Роскомнадзора. При отнесении данных к биометрическим ПДн регулятор рекомендуем руководствоваться законодательной и правоприменительной практикой.

Например, цветное цифровое фотографическое изображение лица владельца документа является биометрическими ПДн владельца документа в соответствии с п. 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утверждённого постановлением Правительства Российской Федерации от 04.03.2010 № 125.

Также регулятор отмечает, что ПДн можно отнести к биометрическим в случае соответствия формата записи изображения лица формату, заложенному Национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013, утверждённым приказом Федерального агентства по техническому регулированию и метрологии Российской Федерации от 06 сентября 2013 года № 987-ст.

Также на своих многочисленных вебинарах представители регулятора отмечают, что ПДн являются биометрическими в случае, если осуществляется идентификация/аутентификация субъектов ПДн. Так, например, потоковая видеозапись, не предусматривающая идентификацию/аутентификацию не является биометрическими ПДн и подчиняется общим правилам обработки ПДн. Однако, если видеозапись предполагает идентификацию/аутентификацию, установление личности человека, то в этом случае она относится к сфере обработки биометрических ПДн.

Ярким примером операторов, обрабатывающих биометрические ПДн, являются органы, осуществляющие оперативно-розыскную деятельность, и использующие сведения, характеризующие физиологические и биологические особенности человека, для установления личности субъекта ПДн.

Таким образом, полагаем, ПДн будут считаться биометрическими при выполнении одного из следующих условий:
• сведения характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн (осуществляется идентификация/аутентификация субъектов ПДн);
• имеются положения законодательства Российской Федерации, прямо указывающие, что данные сведения могут быть отнесены к биометрическим ПДн;
• формат записи изображения лица соответствует формату, заложенному Национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013.

Обращаем Ваше внимание, что оценка отнесения сведений к биометрическим ПДн осуществляется в каждом конкретном случае с учетом фактических обстоятельств, а также требований законодательства Российской Федерации.

Что относится к специальным персональным данным?
К специальным относятся ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни (ч. 1 ст. 10 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года).
Что такое обработка персональных данных?
Под обработкой ПДн подразумевается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн (ст. 3 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года).
Кто является оператором персональных данных?
Оператор ПДн – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн (ст.3 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года).

Пример: любая организация становится оператором персональных данных и обязана выполнять требования законодательства в сфере персональных данных с момента, как только начинает обрабатывать персональные данные сотрудников (заключает трудовые договоры или собирает сведения о кандидатах на вакантное место), оказывает услуги клиентам/населению и т.д.
Какие основные нормативно-правовые акты регулируют процессы обработки и защиты персональных данных?

К основным нормативно-правовым актам, регулирующим процессы обработки и защиты ПДн относятся:

  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
C полным списком нормативно-правовых актов, регулирующих процессы обработки и защиты ПДн, Вы можете ознакомиться в разделе Нормативно-правовая база.

О чем нужно уведомлять Роскомнадзор операторам, осуществляющим обработку ПДн?

С 1 сентября 2022 года вступили в силу изменения в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ-152), связанные с уведомлениями, которые оператору необходимо направлять в адрес Роскомнадзора.

С момента вступления изменений в силу перечень обязательных уведомлений увеличился, теперь операторы должны уведомлять Роскомнадзор:

  • о намерении осуществлять обработку ПДн;
  • об изменении сведений, указанных в направленном ранее уведомлении о намерении осуществлять обработку ПДн;
  • о прекращении обработки ПДн;
  • о намерении осуществлять трансграничную передачу ПДн;
  • о факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн.
Подробно о видах уведомлений, которые оператор обязан направлять в адрес Роскомнадзора, Вы можете ознакомится в методическом материале, разработанном экспертами ООО «НПЦ «КСБ» специально для пользователей ПК «АльфаДок».

Что такое Уведомление об обработке (о намерении осуществлять обработку) персональных данных и как его подавать?

Уведомление об обработке (о намерении осуществлять обработку) ПДн – это документ установленной формы, который необходимо отправить в территориальный орган Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по месту регистрации оператора. Данная обязанность установлена ч. 1 ст. 22 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года. 

Подать Уведомление в территориальное управление Роскомнадзора можно несколькими способами:

  • заполнить форму Уведомления на сайте Роскомнадзора, распечатать его на фирменном бланке организации и отправить в свое территориальное Управление;
  • заполнить форму Уведомления на сайте Роскомнадзора, подписать ее электронной подписью и направить в территориальное управление в электронном виде;
  • пройти аутентификацию на портале Госуслуг, заполнить форму и направить ее в электронном виде.

Решение о включении организации в реестр операторов будет принято в течение 30 дней после даты поступления уведомления в территориальный орган Управления Роскомнадзора одним из перечисленных способов.

Подробно о видах уведомлений, которые оператор обязан направлять в адрес Роскомнадзора, Вы можете ознакомиться в методическом материале, разработанном экспертами ООО «НПЦ «КСБ» специально для пользователей АльфаДок.

Что такое Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн, и как его отправлять?

Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн – это документ установленной формы, который необходимо отправить в территориальное управление Роскомнадзора в случае изменения данных, указанных в отправленном ранее Уведомлении об обработке (о намерении осуществлять обработку) ПДн. 

Отправить Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн в территориальное управление Роскомнадзора можно несколькими способами:

  • заполнить форму на сайте Роскомнадзора, распечатать и отправить ее в территориальный орган;
  • заполнить форму на сайте Роскомнадзора, подписать ее электронной подписью и направить в территориальное управление в электронном виде;
  • пройти аутентификацию на портале Госуслуг, заполнить форму и направить ее в электронном виде.

В случае изменения сведений, указанных в Уведомлении об обработке (намерении осуществлять обработку) ПДн, оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов ПДн не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения (ч. 7 ст. 22 ФЗ-152 «О персональных данных»).

Срок рассмотрения Уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн, исчисляется со дня его регистрации в территориальном управлении Роскомнадзора. Изменения в сведения об Операторе вносятся в Реестр не позднее 30 дней с даты регистрации Уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн.

Подробно о видах уведомлений, которые оператор обязан направлять в адрес Роскомнадзора, Вы можете ознакомиться в методическом материале, разработанном экспертами ООО «НПЦ «КСБ» специально для пользователей АльфаДок.

Кто проверяет правильность обработки и защиты персональных данных?
Регуляторами в сфере обработки и защиты ПДн являются:
  • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – уполномоченный орган по защите прав субъектов ПДн, осуществляющий контроль и надзор за соответствием обработки ПДн требованиям законодательства Российской Федерации в области ПДн;
  • Федеральная служба безопасности (ФСБ России) – орган, осуществляющий контроль и надзор за организационными и техническими мерами защиты ПДн, связанными с применением средств криптографической защиты информации;
  • Федеральная служба по техническому и экспортному контролю (ФСТЭК России) – орган, осуществляющий контроль и надзор по вопросам технической защиты ПДн.
Как узнать, попали ли мы в план проверок Роскомнадзора?

Ежегодно в конце декабря территориальные управления Роскомнадзора публикуют на своих официальных сайтах план проведения плановых контрольных (надзорных) мероприятий, согласованный с органами прокуратуры. Проверить, попала ли Ваша организация в такой план на очередной год, можно на официальном сайте управления Роскомнадзора Вашего региона.

Также регулятор уведомляет организацию о проверке за 24 часа до ее начала путем направления копии приказа о проверке (как правило, по электронной почте).

В случае, если территориальные управления Роскомнадзора опубликовали планы проверок на год, сотрудники Службы экспертной поддержки АльфаДок уведомляют действующих пользователей о предстоящем плановом контрольно-надзорном мероприятии за 1-2 месяца. Также Вы сможете самостоятельно отслеживать наличие ближайших проверок в разделе «Панель управления» (виджет «Проверки регуляторов»).

Мы попали в план проверок Роскомнадзора. Что нам делать?

В целом процесс подготовки к проверке состоит из следующих шагов:

1. Проведение внутреннего аудита для анализа процессов обработки ПДн в организации.
В рамках аудита необходимо определить:

  • перечень информационных систем, в которых обрабатываются ПДн (ИСПДн «Кадровый учет», ИСПДн «Бухгалтерский учет» и т.д.);
  • цели обработки ПДн (например, для медицинских организаций основными целями являются выполнение требований законодательства в сфере здравоохранения и оказание медицинских услуг населению);
  • категории обрабатываемых в организации ПДн (например, ФИО, дата рождения, адрес, фотографии, семейное положение, место работы, сведения о состоянии здоровья и т.д.);
  • категории субъектов, ПДн которых обрабатываются в организации (сотрудники, клиенты, граждане).

2. Назначение лиц, ответственных за организацию обработки и за обеспечение безопасности ПДн.
Необходимо назначить ответственного за организацию обработки ПДн, как правило, это сотрудник из числа руководящего состава организации (директор или заместитель директора) или сотрудник отдела кадров. В качестве ответственного за обеспечение безопасности ПДн обычно назначают технического специалиста.

3. Разработка и утверждение необходимой документации.
ФЗ-152 «О персональных данных» от 27 июля 2006 года не регламентирует наименования документов, но определяет, какие процессы по обработке ПДн должны быть оформлены документально. Разрабатываемый в АльфаДок пакет документов по защите ПДн включает в себя более 20 документов (с перечнем документов можно ознакомиться в разделе «Нормативно-правовая база»). Пакет документов обязательно должен включать в себя Политику в отношении обработки ПДн.

4. Подача уведомления о намерении осуществлять обработку персональных данных в Роскомнадзор.
Уведомление об обработке ПДн можно отправить в электронном виде с сайта Роскомнадзора. Распечатанную электронную форму необходимо направить по почте в Управление Роскомнадзора Вашего региона. В течение 30 дней организация будет внесена в реестр операторов ПДн. В случае изменений необходимо обязательно уведомить Роскомнадзор, подав Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн, с перечнем изменений.

Подробно о видах уведомлений, которые оператор обязан направлять в адрес Роскомнадзора, Вы можете ознакомится в методическом материале, разработанном экспертами ООО «НПЦ «КСБ» специально для пользователей АльфаДок.

Более подробно о видах государственного контроля и о том, как выполнить требования законодательства в сфере защиты ПДн и подготовиться к проверке Роскомнадзора, эксперты АльфаДок рассказали в следующем материале.

На основании чего Роскомнадзор может проводить внеплановые проверки деятельности операторов персональных данных на предмет соответствия требованиям законодательства Российской Федерации в области персональных данных?

Внеплановые контрольные (надзорные) мероприятия, за исключением внеплановых контрольных (надзорных) мероприятий без взаимодействия, проводятся по основаниям, предусмотренным п. 1, 3-6 ч. 1 и ч. 3 ст. 57 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».

Внеплановые проверки могут проводиться по следующим основаниям:

  • наличие у Роскомнадзора сведений о причинении вреда (ущерба) или об угрозе причинения вреда (ущерба) охраняемым законом ценностям либо выявление соответствия объекта контроля параметрам, утвержденным индикаторами риска нарушения обязательных требований, или отклонения объекта контроля от таких параметров;

 

Обратите внимание! В целях оценки риска причинения вреда (ущерба) при принятии решения о проведении и выборе вида внепланового контрольного (надзорного) мероприятия Роскомнадзор разрабатывает индикаторы риска нарушения обязательных требований.

Индикатором риска нарушения обязательных требований является соответствие или отклонение от параметров объекта контроля, которые сами по себе не являются нарушениями обязательных требований, но с высокой степенью вероятности свидетельствуют о наличии таких нарушений и риска причинения вреда (ущерба) охраняемым законом ценностям. Перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных утвержден Приказом Министерства цифрового развития, связи и массовых коммуникаций РФ от 15 ноября 2021 г. № 1187 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных».

К ним относятся:

  1. установление Роскомнадзором в течение календарного года 10 и более фактов несоответствия сведений, предоставляемых Оператором по запросу регулятора, и информации, поступившей в Роскомнадзор от граждан, в части, касающейся наличия в деятельности Оператора признаков неправомерной обработки их персональных данных;
  2. установление Роскомнадзором в течение календарного года 10 и более фактов предоставления неограниченному кругу лиц доступа к базам персональных данных и (или) распространения баз персональных данных в информационно-телекоммуникационной сети «Интернет», имеющих признаки принадлежности Оператору;
  3. установление Роскомнадзором 3 и более фактов несоответствия информации, указанной Оператором в уведомлениях, подлежащих направлению регулятору в соответствии с частью 3 статьи 12 и частью 1 статьи 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», сведениям, размещенным на принадлежащем Оператору сайте в соответствии с частью 2 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

 

  • поручение Президента Российской Федерации, поручение Правительства Российской Федерации о проведении контрольных (надзорных) мероприятий в отношении конкретных контролируемых лиц;
  • требование прокурора о проведении контрольного (надзорного) мероприятия в рамках надзора за исполнением законов, соблюдением прав и свобод человека и гражданина по поступившим в органы прокуратуры материалам и обращениям;
  • истечение срока исполнения решения Роскомнадзора об устранении выявленного нарушения (предписания);
  • наступление события, указанного в программе проверок, если федеральным законом о виде контроля установлено, что контрольные (надзорные) мероприятия проводятся на основании программы проверок.

Возможно проведение внеплановой выездной проверки, внепланового инспекционного визита в случае поступления от контролируемого лица в Роскомнадзор информации об устранении выявленных нарушений обязательных требований. Предмет такой внеплановой выездной проверки и такого внепланового инспекционного визита ограничивается оценкой устранения нарушений обязательных требований, выявленных в рамках процедур периодического подтверждения соответствия (компетентности).

Организация проведения внеплановых контрольных (надзорных) мероприятий осуществляется в соответствии с положениями ст. 66 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».

Какая ответственность предусмотрена за нарушения оператором требований Федерального закона «О персональных данных»?

Лица, виновные в нарушении требований Федерального закона, несут предусмотренную законодательством РФ ответственность, а именно: дисциплинарную, гражданско-правовую, административную, уголовную и иную ответственность. Подробно размер и характер санкций за нарушение требований Федерального закона приведены в следующем материале.

Кого назначить ответственным за организацию обработки персональных данных?

Законодательство не определяет, кто из должностных лиц может быть назначен ответственным за организацию обработки ПДн.

В соответствии с ч. 2 ст. 22.1 Федерального закона «О персональных данных» от 27 июля 2006 года ответственный за организацию обработки получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему, к тому же на данного ответственного возлагаются функции по организации обработки ПДн, поэтому рекомендуется назначать работника из числа руководящего состава (например, заместителя руководителя), так как именно ему легче всего организовать обработку ПДн, а также делегировать часть возложенных функций.

Однако следует учесть, что это не является обязательным требованием. Исходя из нашей практики, ответственным за организацию обработки ПДн довольно часто назначают работника отдела кадров.

Эксперты ООО «НПЦ «КСБ» специально для пользователей АльфаДок разработали методический материал по назначению ответственных лиц.

В каких случаях допускается обработка персональных данных без согласия субъекта персональных данных?

Обработка специальных категорий ПДн (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) без согласия субъекта или его законного представителя допускается в случаях, перечисленных в ч. 2 ст.10 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года.

Обработка биометрических ПДн (отпечатки пальцев, сетчатка глаза и т.д.) может осуществляться без согласия субъекта ПДн в случаях, указанных в ч. 2, ст. 11 Федерального закона № 152-ФЗ «О персональных данных».

Обработка иных категорий ПДн без согласия субъекта или его законного представителя допустима в случаях, указанных в ч.1 ст. 6 Федерального закона № 152-ФЗ «О персональных данных». А именно:

  • обработка ПДн необходима для выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
  • обработка ПДн необходима для оказания государственных и муниципальных услуг;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
  • обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
  • обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;
  • обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона № 152-ФЗ «О персональных данных», при условии обязательного обезличивания ПДн;
  • осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Что такое поручение обработки персональных данных?

В соответствии с ч. 3 ст. 6 Федерального закона 152-ФЗ «О персональных данных» от 27 июля 2006 года оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора).

Пример: передача ПДн работника организации в кредитно-финансовые учреждения в целях начисления заработной платы относится к поручению обработки ПДн.

Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных», соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных данным Федеральным законом.

В поручении оператора должны быть определены:

  • перечень ПДн;
  • перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн;
  • цели их обработки;
  • требования к защите обрабатываемых ПДн в соответствии со ст. 19 Федерального закона 152-ФЗ «О персональных данных», в том числе требование об уведомлении оператора о случаях, предусмотренных ч.3.1 ст. 21 Федерального закона 152-ФЗ «О персональных данных».

Также в поручении должны быть установлены обязанности лица, осуществляющего обработку ПДн по поручению оператора:
  • соблюдать конфиденциальность ПДн;
  • соблюдать требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных»;
  • по запросу оператора ПДн в течение срока действия поручения оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии со ст. 6 Федерального закона 152-ФЗ «О персональных данных»;
  • обеспечивать безопасность ПДн при их обработке.

Как документально оформить факт уничтожения персональных данных субъекта?

Под уничтожением ПДн, согласно п. 8 ст. 3 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года, понимаются действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

Порядок документальной фиксации уничтожения ПДн субъекта определяется оператором ПДн самостоятельно. Уничтожение ПДн субъекта осуществляется созданной оператором комиссией либо иным должностным лицом, назначенным оператором.

В случае если обработка ПДн осуществляется оператором без использования средств автоматизации, документом, подтверждающим уничтожение ПДн субъектов ПДн, является акт об уничтожении ПДн. В случае если обработка ПДн осуществляется с использованием средств автоматизации, документами, подтверждающими уничтожение ПДн субъектов ПДн, являются акт об уничтожении ПДн, соответствующий требованиям, содержащимся в пп. 3 и 4 Требований к подтверждению уничтожения ПДн, утв. Приказом Роскомнадзора от 28.10.2022 № 179, и выгрузка из журнала регистрации событий в ИСПДн.

Типовая форма акта, соответствующая Требованиям к подтверждению уничтожения ПДн, утв. Приказом Роскомнадзора от 28.10.2022 № 179, приведена в Правилах по уничтожению ПДн (Правила являются приложением к приказу/ распоряжению/ постановлению «Об уничтожении ПДн»).

По общему правилу, ПДн подлежат уничтожению в случаях: достижения целей обработки или утраты необходимости в достижении этих целей; выявления неправомерной обработки ПДн при невозможности обеспечить правомерность обработки; отзыва субъектом ПДн согласия на их обработку. При этом, если оператор не может в установленные сроки (10 дней – для случаев неправомерной обработки и 30 дней – в остальных случаях) уничтожить ПДн, то он должен осуществить их блокирование, а затем – в течение полугода обеспечить уничтожение (ст. 21 Федерального закона «О персональных данных»).

Вправе ли работодатель запрашивать сведения о судимости?

В соответствии с ч. 3 ст. 10 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года обработка ПДн о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами. Также обработка сведений о судимости допускается в случае, если субъект ПДн предоставил согласие в письменной форме на их обработку (п. 1 ч. 2. ст. 10 Федерального закона № 152-ФЗ «О персональных данных»).

Можно ли хранить копию паспорта в личном деле?

Согласно Федеральному закону № 79-ФЗ и Указу Президента № 609 к личным делам приобщаются копии паспортов, страховых свидетельств, копии актов гражданского состояния и иных персональных данных.

Роскомнадзор считает нарушением сбор лишних персональных данных, даже если работник дал на это согласие. Но в отношении государственных гражданских служащих хранение копии паспорта в личном деле прямо предусмотрено законом (п. 16 Положения, утвержденного Указом Президента РФ от 30 мая 2005 г. № 609). Таким образом, запрет на хранение копии паспорта в личном деле не распространяется на государственных гражданских служащих.

 

Обратите внимание! Роструд высказал точку зрения, противоположную позиции Роскомнадзора: организация вправе хранить в личном деле работника копию его паспорта, СНИЛС, трудовой книжки и других документов, если сотрудник предоставил письменное согласие на обработку персональных данных. Однако суд встал на сторону Роскомнадзора (постановление ФАС Северо-Кавказского округа от 11 марта 2014 г. по делу № А53-10287/2013).

Исходя из сказанного, во избежание штрафов рекомендуется не хранить копии паспорта в личных делах работников, не относящихся к государственным гражданским служащим или иным категориям работников, хранение копий паспортов которых в личных делах предусмотрено законом.

Снимайте копии с документов, только если это необходимо, чтобы предоставить сотруднику гарантии и компенсации (пособия, путевки и пр). И храните копии, пока не достигли цели, для которой их снимали. Проверьте личные дела сотрудников. Если в них есть копии документов, которые вам уже не нужны, уничтожьте их. Например, в деле осталась копия справки о рождении ребенка, а пособия уже выплатили. Составьте акт об уничтожении справки и избавьтесь от нее (информация Роскомнадзора от 25 сентября 2015 г.). Будущие копии уничтожайте в течение 30 дней с даты, когда достигли цели обработки данных (ч. 4 ст. 21 Закона N 152-ФЗ). Порядок уничтожения нигде не прописан. Вы можете установить его самостоятельно.

Государственные информационные системы
Как определить, является ли наша информационная система государственной?
Государственные информационные системы (ГИС) – федеральные информационные системы и региональные информационные системы (РИС), созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. Основные признаки ГИС:
  • информационная система создана в целях реализации государственных функций и обязанностей (в том числе оказания государственных услуг);
  • создана за счет государственных/муниципальных средств;
  • создана на основании решения государственного органа.
Какие основные нормативные правовые акты регулируют процессы обработки и защиты информации, содержащейся в государственной информационной системе и не относящейся к государственной тайне?
К основным нормативным правовым актам, регулирующим процессы обработки и защиты информации (за исключением ПДн), содержащейся в государственных информационных системах и не относящейся к государственной тайне, относятся:
  • Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года;
  • Приказ ФСТЭК России № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11 февраля 2013 года;
  • и др., связанные с вышеуказанными, нормативные правовые акты.
C полным списком нормативных правовых актов, регулирующих процессы обработки и защиты информации, Вы можете ознакомиться в разделе «Нормативно-правовая база».
Кто проверяет правильность обработки и защиты информации, не относящейся к государственной тайне?
Регуляторами в сфере обработки и защиты информации, не относящейся к государственной тайне, являются:
  • Федеральная служба безопасности (ФСБ России) – орган, осуществляющий контроль и надзор за организационными и техническими мерами защиты информации, связанными с применением средств криптографической защиты информации;
  • Федеральная служба по техническому и экспортному контролю (ФСТЭК России) – орган, осуществляющий контроль и надзор по вопросам технической защиты информации.
Какая ответственность предусмотрена за несоблюдение требований законодательства в сфере защиты информации (ФСБ России, ФСТЭК России)?
Несоблюдение требований законодательства в сфере защиты информации (ФСБ России, ФСТЭК России) может повлечь административную и уголовную ответственность. Размер и характер санкций приведен экспертами ООО «НПЦ «КСБ» в следующем материале.
Какие документы подлежат согласованию со ФСТЭК России?
Согласно Постановления Правительства № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» от 6 июля 2015 года согласованию со ФСТЭК России подлежат модель угроз безопасности информации (ГИС) и техническое задание на создание ГИС.
По какому принципу определяется класс защищенности государственной информационной системы?
Класс защищенности ГИС согласно приказу ФСТЭК России № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11 февраля 2013 года определяется на основании следующих показателей: масштаб ГИС (федеральный, региональный, объектовый); степень возможного ущерба в случае нарушения конфиденциальности, целостности и доступности (высокая, низкая, средняя).

Класс защищенности ГИС в ПК «АльфаДок» определяется автоматически на основе сведений, внесенных в программный комплекс.
Какие требования к усилению ИАФ.4 предусмотрены для субъектов ГИС?

Для ГИС 3 класса защищенности

  • ​длина пароля не менее 6 символов;
  • алфавит пароля не менее 60 символов;
  • максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток;
  • блокировка программно-технического средства или учетной записи пользователя
  • в случае достижения установленного максимального количества неуспешных попыток аутентификации от 5 до 30 минут;
  • смена паролей не более чем через 120 дней

Для ГИС 2 класса защищенности

  • длина пароля не менее 6 символов;
  • алфавит пароля не менее 70 символов;
  • максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 8 попыток;
  • блокировка программно-технического средства или учетной записи пользователя
  • в случае достижения установленного максимального количества неуспешных попыток аутентификации от 10 до 30 минут;
  • смена паролей не более чем через 90 дней

Для ГИС 1 класса защищенности

  • длина пароля не менее 8 символов;
  • алфавит пароля не менее 70 символов;
  • максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 4 попыток;
  • блокировка программно-технического средства или учетной записи пользователя
  • в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 до 60 минут;
  • смена паролей не более чем через 60 дней

 

Требования к усилению ИАФ.4 «Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации» установлены в методическом документе «Меры защиты информации в государственных информационных системах», утвержденном ФСТЭК России 11 февраля 2014 г.

Объекты КИИ
Что относится к объектам критической информационной инфраструктуры?
Согласно Федеральному закону № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» от 26 июля 2017 года к объектам КИИ относятся информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сферах здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей, и принадлежащие субъектам КИИ на праве собственности, аренды или на ином законном основании.
Какие основные нормативные правовые акты регулируют сферу обеспечения безопасности критической информационной инфраструктуры?
К основным нормативным правовым актам, регулирующим сферу обеспечения безопасности КИИ, относятся:
  • Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года;
  • Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» от 26 июля 2017 года;
  • Постановление Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 8 февраля 2018 года;
  • Приказ ФСТЭК России № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» от 21 декабря 2017 года ;
  • Приказ ФСТЭК России № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» от 25 декабря 2017 года;
  • и др. связанные с вышеуказанными нормативные правовые акты.
C полным списком нормативных правовых актов, регулирующих сферу обеспечения безопасности КИИ, Вы можете ознакомиться в разделе «Нормативно-правовая база».
Кто проверяет соблюдение требований законодательства в области обеспечения безопасности критической информационной инфраструктуры?
  • Федеральная служба безопасности (ФСБ России) – устанавливает порядок информирования об объектах КИИ и инцидентах, определяет состав предоставляемой информации, проводит оценку безопасности объектов КИИ;
  • Федеральная служба по техническому и экспортному контролю (ФСТЭК России) – орган, устанавливающий требования по обеспечению безопасности значимых объектов КИИ и осуществляющий контроль за выполнением требований по категорированию объектов КИИ и обеспечению безопасности значимых объектов.
Какая ответственность предусмотрена за несоблюдение требований законодательства в сфере защиты объектов критической информационной инфраструктуры?
Несоблюдение требований законодательства в сфере защиты объектов КИИ может повлечь административную и уголовную ответственность. Размер и характер санкций приведен экспертами ООО «НПЦ «КСБ» в следующем материале.
Возможна ли ситуация, при которой объекту критической информационной инфраструктуры не присваивается никакая категория значимости?
Да, в случае если ни один из показателей критериев значимости неприменим для объекта КИИ или объект КИИ не соответствует ни одному показателю критериев значимости и их значениям (п. 6 Постановления Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 8 февраля 2018 года).
Данные в сведениях о присвоении категории значимости объекта критической информационной инфраструктуры изменились. Необходимо ли заново отправлять сведения во ФСТЭК России?
Субъект КИИ не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов КИИ или их значений должен провести пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий. После переоценки показателей критериев значимости необходимо направлять форму во ФСТЭК России в том случае, если меняется категория значимости объекта (п. 21 Постановления Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 8 февраля 2018 года).

Также в случае изменения сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, необходимо направить во ФСТЭК России форму в печатном и электронном виде с актуальными сведениями не позднее 20 рабочих дней со дня их изменения (п. 19.1 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации).

Документ «Сведения о результатах присвоения объекту КИИ категории значимости» формируется в Портфеле документов ПК «АльфаДок» в форматах DOCX, PDF и ODS в соответствии со сведениями, внесенными в программный комплекс. В указанных выше случаях пользователю необходимо актуализировать информацию в ПК «АльфаДок», выгрузить документ и направить его во ФСТЭК России вместе с сопроводительным письмом.

Обратите внимание! Сопроводительное письмо для согласования результатов категорирования объектов КИИ со ФСТЭК России можно сформировать в Рабочем столе «Операционная деятельность», разделе «Сведения о согласовании с регуляторами».
Субъект критической информационной инфраструктуры имеет филиалы и представительства. Могут ли в данных филиалах и представительствах создаваться отдельные комиссии по категорированию объектов критической информационной инфраструктуры?
Да, по решению руководителя субъекта КИИ, имеющего филиалы, представительства, могут создаваться отдельные комиссии по категорированию ОКИИ в этих филиалах, представительствах.

Координацию и контроль деятельности комиссий по категорированию в филиалах, представительствах осуществляет комиссия по категорированию субъекта КИИ (п. 11.2  Постановления Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 8 февраля 2018 года).
Если региональная медицинская информационная система (МИС) находится в областном Департаменте или Министерстве здравоохранения, надо ли ЛПУ выделять МИС как свой объект КИИ и проводить в отношении него процедуру категорирования?
Организация должна проводить процедуру категорирования в отношении тех информационных систем (ИС), автоматизированных систем управления (АСУ) или информационно-телекоммуникационных систем (ИТКС), которые являются объектами критической информационной инфраструктуры (КИИ) и на праве собственности, аренды или на ином законном основании принадлежат самой организации.

Проект методических рекомендаций по категорированию объектов КИИ, опубликованный на Портале оперативного взаимодействия участников ЕГИСЗ Департамента цифрового развития информационных технологий Министерства здравоохранения Российской Федерации под «иным законным основанием» подразумевает передачу прав пользования ИС, АСУ, ИТКС на основании правовых актов или решений собственника без передачи права собственности на них. Например: на основании договора безвозмездного пользования (ГК РФ, ст. 689), договора на право хозяйственного ведения (ГК РФ, ст. 294), договора на право оперативного управления (ГК РФ, ст. 296). Если у организации есть соответствующее право пользования региональной медицинской информационной системой, то это самостоятельный объект КИИ, в отношении которого необходимо проведение категорирования.

Также хочется отметить, что в разных регионах Российской Федерации к решению данного вопроса существуют разные подходы:

В одном регионе Минздрав может принять решение, что региональная МИС – это объект КИИ Минздрава и именно Минздрав в отношении указанной МИС будет проводить процедуру категорирования, а больницам такой объект выделять не нужно.
В другом регионе может сложиться совершенно обратная ситуация: Минздрав может настаивать, чтобы и больницы выделяли МИС как свой объект КИИ.
Поэтому рекомендуем уточнять данный вопрос непосредственно у Минздрава вашего региона.
Кейсистемс-Безопасность Контакты:
Адрес: пр. М. Горького, д. 18Б 428000 Чебоксары,
Телефон:88005005233, Электронная почта: alfa@npc-ksb.ru