Надзор за обработкой персональных данных

Помощь по теме: "Надзор за обработкой персональных данных" с полным описанием проблематики и решением. Ели у вас есть вопросы, то обратитесь к дежурному консультанту.

Глава 5. Государственный контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона (ст.ст. 23 — 24)

Информация об изменениях:

Федеральным законом от 22 февраля 2017 г. N 16-ФЗ наименование главы 5 настоящего Федерального закона изложено в новой редакции, вступающей в силу с 1 марта 2017 г.

Глава 5. Государственный контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона

>
Уполномоченный орган по защите прав субъектов персональных данных
Содержание
Закон «О персональных данных»

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/12148567/c74d6d7c95e27021146be056ebac8f37/

Готовимся к проверке: какие документы проверяет Роскомнадзор?

Организационные меры защиты персональных данных включают в себя разработку организационно-распорядительных документов, а также реализацию мероприятий по защите ПДн.

В каждой организации — свой перечень

Разработка организационно-распорядительных документов (ОРД) является первым логичным этапом при выстраивании системы защиты персональных данных. Различные нормативные документы (№ 152- ФЗ «О персональных данных», Постановление П-1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановление П-687 «Об особенностях обработки ПДн, осуществляемой без средств автоматизации») устанавливают обязательность наличия тех или иных ОРД.

Не существует универсального фиксированного списка мероприятий и необходимых ОРД. Их перечень может меняться в зависимости от специфики обработки ПДн, организационной структуры и других особенностей каждого отдельно взятого предприятия.

Но при этом есть ряд документов, которые во время проверки в обязательном порядке запрашивают представители контролирующих органов. Этот список мы приведем ниже, наименования документов, конечно, могут отличаться, но смысл должен оставаться.

В соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 № 228, на Роскомнадзор возложено обеспечение контроля и надзора за соответствием обработки персональных данных требованиям закона № 152-ФЗ.

В пакете с ОРД должны присутствовать:

  • перечень ПДн (категория, субъекты, основания);
  • список должностных лиц, допущенных до ПДн;
  • регламент обработки ПДн (цели, условия и принципы обработки, условия прекращения обработки, правовые основания, какие меры обеспечения безопасности приняты);
  • положение об организации обработки ПДн (связывает все остальные документы между собой, а также содержит шаблоны основных соглашений (на обработку ПДн и на обязательство о конфиденциальности));
  • положение об организации неавтоматизированной обработки ПДн (хранение, уничтожение);
  • приказы о назначении и должностные инструкции лиц, ответственных за организацию обработки ПДн в организации и за обеспечение безопасности ПДн в информационной системе;
  • приказ о назначении и должностная инструкция администратора ИСПДн;
  • приказ об определении границ контролируемой зоны;
  • перечень помещений, в которых ведется обработка ПДн;
  • порядок доступа в помещения, в которых ведется обработка ПДн (организация и ограничение доступа);
  • положение об обеспечении безопасности ПДн;
  • регламент проведения внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям к защите ПДн;
  • регламент реагирования на инциденты безопасности ПДн;
  • правила разграничения доступа;
  • инструкция по эксплуатации СКЗИ (хранение, учет и уничтожение информации);
  • журнал ознакомления с документами;
  • перечень ИСПДн, используемых в организации.

Обратите внимание, что реализовывать меры по защите персональных данных организация должна в любом случае, вне зависимости от того, подавалось уведомление в Роскомнадзор или нет и с помощью каких средств обрабатываются ПДн в организации.

Нередко организации пренебрегают мерами административного и процедурного характера в области защиты ПДн, обрабатываемых без использования средств автоматизации. Неудивительно, что во время проверок представители контролирующих органов выносят большой объем замечаний по этому поводу. А потому мы рекомендуем нашим клиентам, разрабатывая ОРД, принимать во внимание столь важные моменты.

Кроме того, не стоит забывать про необходимость повышения грамотности всех сотрудников в области персональных данных — необязательно заставлять их вычитывать все документы в этой области, но свои обязанности и правила работы с персональными данными они должны знать хорошо.

Помощь в прохождении проверки Роскомнадзора

Олег Нечеухин, эксперт по защите информационных систем, Контур.Безопасность

Источник: http://kontur.ru/articles/2545

Проверка Роскомнадзора: как подготовиться и избежать штрафов

Проверяя компанию, Роскомнадзор руководствуется прежде всего Федеральным законом №152-ФЗ «О персональных данных». При этом проверка может быть как плановой, так и внеплановой.

Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года. Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит. Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Тем более что в настоящее время Госдума рассматривает законопроект о значительном увеличении штрафов за нарушения в обработке персональных данных.

Виды проверок Роскомнадзора

Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.

— Плановая проверка

О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.

— Внеплановая проверка

Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

— Документарная проверка

В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.

— Выездная проверка

При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.

Читайте так же:  К видам гражданско правовой ответственности относится

В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.

Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?

Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований. Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять. Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.

Если привлечение внешнего специалиста для вас дорого, сделайте выбор в пользу бюджетного варианта и используйте специальные онлайн-сервисы для выполнения законодательства о персональных данных.

Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:

Чтобы выслать уведомление в электронном виде, нужно на сайте Роскомнадзора заполнить электронную форму. После отправки электронного уведомления, распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.

В течение 30 дней Роскомнадзор рассмотрит ваше уведомление и добавит компанию в реестр операторов. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона №152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.

Проверка Роскомнадзора: на что обращают внимание инспекторы?

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Какие персональные данные можно обрабатывать без уведомления:

  1. данные, которые обрабатываются в соответствии с трудовым законодательством;
  2. данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  3. данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  4. данные, сделанные субъектом персональных данных общедоступными;
  5. данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
  6. данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
  9. данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.

Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных. К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.

В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

Читайте так же:  Переуступка прав требования банк

Источник: http://kontur.ru/articles/1775

Контроль и надзор за обработкой персональных данных.

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи — Роскомнадзора.

Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

Уполномоченный орган по защите прав субъектов персональных данных обязан:

Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту РФ, в Правительство РФ и Федеральное Собрание РФ, который подлежит опубликованию в СМИ.

Ответственность за нарушение положений законодательства о персональных данных.

Лица, виновные в нарушении требований законодательства РФ о персональных данных, несут уголовную, административную, гражданско-правовую и дисциплинарную ответственность.

Уголовная ответственность установлена за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ (ст. 137 УК РФ).

Должностные лица могут быть привлечены к уголовной ответственности по ст. 140 УК РФ, если неправомерно откажут гражданину в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставят гражданину неполную или заведомо ложную информацию, если эти деяния причинили вред правам и законным интересам граждан.

За неправомерный доступ к компьютерной информации также предусмотрена уголовная ответственность. Виновные лица будут наказаны по ст. 272 УК РФ, если ими будет незаконно получена информация, содержащаяся на машинном носителе, в ЭВМ, системе ЭВМ или их сети, при условии, что это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.

Административная ответственность предусмотрена за неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации (ст. 5.39 КоАП РФ).

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в соответствии со ст. 13.11 КоАП РФ.

Административная ответственность предусмотрена за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).

Статья 19.7 КоАП РФ устанавливает ответственность за непредставление или несвоевременное представление уведомления об обработке персональных данных или иной информации по запросу уполномоченного органа.

Использование операторами персональных данных несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), влечет административную ответственность в соответствии со ст. 13.12 КоАП РФ.

Статьей 13.13 КоАП РФ предусматривается ответственность за незаконную деятельность в области защиты информации. Так, занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), влечет наложение административного штрафа на граждан, должностных лиц и юридических лиц.

В рамках гражданско-правовой ответственности субъект персональных данных в судебном порядке может требовать также возмещения убытков и (или) компенсации морального вреда.

К работникам, нарушившим законодательство о персональных данных, могут применяться меры дисциплинарной ответственности. Статья 192 ТК РФ предусматривает такие виды дисциплинарных взысканий, как замечание; выговор; увольнение по соответствующим основаниям.

С работниками организации, имеющими доступ к персональным данным других работников, партнеров или клиентов организации следует заключать соглашения об обеспечении конфиденциальности данных. В случае нарушения взятых на себя обязательств работник, имеющий доступ к чужим персональным данным, может быть уволен по основаниям п. «в» ст. 81 ТК РФ за разглашение охраняемой законом тайны, в том числе разглашение персональных данных другого работника.

Источник: http://studme.org/78426/pravo/kontrol_nadzor_obrabotkoy_personalnyh_dannyh

Два законопроекта о самом главном в персональных данных: о контроле и надзоре и о штрафах

11 января Госдума во втором чтении приняла два долгожданных законопроекта: « О внесении изменений в главу 5 Федерального закона «О персональных данных» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля » (в части уточнения порядка осуществления государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных) и « О внесении изменений в Кодекс Российской Федерации об административных правонарушениях » (в части уточнения положений, устанавливающих ответственность за нарушение законодательства о персональных данных).

Тексты законопроектов по сравнению с рассмотренными в первом чтении претерпели по объему незначительные, но весьма важные, даже принципиальные изменения.
В соответствии с первым из рассматриваемых законопроектов, уполномоченным органом по защите прав субъектов персональных данных теперь будет не федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, т.е. Роскомнадзор, а федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных. Это вовсе не означает передачи этих функций от Роскомнадзора другому органу, но такая конструкция закона делает это вполне допустимым.

Что же это за орган контроля и надзора? Закон на этот вопрос не отвечает, но зато прямо и недвусмысленно возлагает на Правительство РФ обязанность установить порядок организации и проведения проверок операторов, являющихся юридическими лицами и индивидуальными предпринимателями, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными операторами.

Последствия и смысл разделения контрольных функций на две части: (1) организации и проведения проверок операторов, являющихся юридическими лицами и индивидуальными предпринимателями и (2) организации и осуществления государственного контроля и надзора за обработкой персональных данных инымиоператорами пока не ясны, но как обычно, это неспроста.

Читайте так же:  Жалоба директору школы на учителя образец

Обратите внимание, что за 10 лет действия закона в нем впервые в качестве субъекта правоотношений появляется индивидуальный предприниматель. До принятия нового закона регулировались отношения с юридическими и физическими лицами, но не с ИП.
Незаметно, но радикально изменилась область контроля и надзора. Если ранее это было соответствие «обработки персональных данных требованиям настоящего Федерального закона», т.е. 152-ФЗ «О персональных данных», то теперь – соответствие «обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных». Чувствуете разницу? Законодательству в целом, а не конкретному закону.

Это должно положить конец ведущимся давно спорам о правомерности проверки Роскомнадзором, например, требований статей 86 и 88 Трудового кодекса, но вступает в коллизию с нормой Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»: недопустимостью проведения в отношении одного юридического лица или одного индивидуального предпринимателя несколькими органами государственного контроля (надзора) проверок исполнения одних и тех же обязательных требований. Но мы же помним, что с 1 сентября 2015 года 294-ФЗ не применяется при осуществлении контроля и надзора за обработкой персональных данных. Кстати, эта норма тоже уточнена законопроектом и дополнена словом «государственного».

Видео (кликните для воспроизведения).

Правда, в новой части 1.1 статьи 23 152-ФЗ далее указывается, что уполномоченный орган «обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием содержания обработки персональных данных и способов их обработки требованиям настоящего Федерального закона и принятых в соответствии с ним нормативных правовых актов (государственный контроль и надзор за обработкой персональных данных)». Как это должно соотноситься с соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, совершенно непонятно.

Новая конструкция статьи 13.11 с семью составами правонарушений может привести к принципиальному изменению надзорной практики. Теперь, если у оператора будет выявлено 50 нарушений, каждое из них может быть квалифицировано отдельно, по каждому – составлен протокол и наложен штраф, суммарно весьма внушительный и фактически неограниченный. Наличие в действующей статье одной общей нормы: «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» таких действий не предусматривает.

И ожидаемое – статья 13.11 переходит в ведение Роскомнадзора, включая возбуждение административных дел по составам правонарушений, предусмотренным этой статьей, и соответственно, исключение этой статьи из полномочий прокуратуры.
Законопроектами предполагается, что изменения, касающиеся контроля и надзора, вступят в силу 1 марта 2017 года, изменения в КоАП РФ – 1 июля.
Учитывая, что в третьем чтении принципиальных изменений в законопроект внесено не может быть, готовимся. Я думаю, третье чтение пройдет в ближайшее время.

Источник: http://www.securitylab.ru/blog/personal/emeliyannikov/333575.php

Кто контролирует защиту персональных данных

Защита персональных данных
с помощью DLP-системы

З ащита персональных данных становится задачей каждой компании, которая получает их в соответствии со своими уставными целями. На эти компании ложатся определенные обязанности – от разработки документации до установки соответствующего программного обеспечения. На определенные государственные ведомства возложены задачи по контролю над соблюдением законодательства, действующего в этой сфере.

Основные регуляторы и их полномочия

Основные предложения и термины в сфере защиты персональных данных определены Федеральным законом № 154-ФЗ. Он же определяет государственные организации, уполномоченные осуществлять контроль в этой сфере. Закон указывает на три ведомства Российской Федерации, на которые возложена обязанность контролировать выполнение юридическими лицами того, что требует от них закон, чтобы эффективно защищать персональные данные граждан. Это такие государственные органы, как:

Виды контроля

Федеральный закон о защите прав юридических лиц № 294-ФЗ назвал основной вид контрольных мероприятий, которые осуществляются в отношении лиц, направивших уведомление о начале занятия бизнесом, связанным с обработкой персональных данных. Это проверки, которые в рамках своих полномочий проводят государственные органы. Согласно законодательству, они могут быть плановыми и внеплановыми. Плановая проверка может быть назначена не ранее чем по прохождении трех лет с момента регистрации или подачи уведомления о работе с персональными данными. Она назначается в год, предшествующий проверке. Сведения о ней, ее срок и проверяемые объекты обязательно вносятся в общегосударственный реестр, который затем размещается на сайте Генеральной прокуратуры. Каждый оператор всегда может знать, будут ли в отношении него производиться плановые проверочные мероприятия.

Внеплановая проверка соблюдения правил защиты персональных данных может быть назначена только при наличии веских причин. Это:

  • наличие заявления гражданина о нарушении его прав или противоправной деятельности, которую ведет компания;
  • сообщение об этом правоохранительного органа;
  • сообщение СМИ;
  • неисполнение предписания, выданного проверяющей организацией по результатам предыдущей плановой проверки;
  • истечение срока предписания и необходимость проверки его выполнения;
  • нарушение законодательства, регулирующего сферу защиты персональных данных;
  • несоответствие данных, внесенных в уведомление, реальной предпринимательской деятельности.

Важно, что внепланово проверяющие ведомства могут прийти в компанию только при наличии согласия органов прокуратуры. Если обращение гражданина, которое могло бы стать основой для проведения проверки, не содержит данных, которые могли бы помочь установить его личность, например, в нем проставлена неразборчивая подпись или отсутствует почтовый адрес, такое заявление не может быть положено в основу проведения проверки.

Если о плановых проверках соблюдения предписаний или требований закона по защите персональных данных компании чаще всего узнают в конце декабря, когда их список появляется на сайте Генпрокуратуры, то о внеплановых проверяющие ведомства обязаны их уведомить не позднее чем за 24 часа. Это делается любым доступным способом, включая электронную почту, факс или телефон. Но есть одно исключение. Если деятельность оператора вышла за рамки закона и таким нарушением был причинен вред человеку, его здоровью или жизни (например, утечка данных стала причиной нападения), то в этом случае уведомлять о проверке не требуется, она проводится незамедлительно после установления такого факта.

Любая проверка не может продолжаться больше 20 дней. Если обстоятельства требуют, она продляется, для малых предприятий – не более чем на 15 часов. Она может быть приостановлена с обязательным письменным уведомлением об этом оператора, если:

  • требуется проведение экспертизы;
  • вынесено мотивированное решение руководителя подразделения ведомства, проводящего проверку.
Читайте так же:  Инспектор по делам несовершеннолетних в казахстане

Завершается проверка несколькими способами:

  • составление акта по результатам проверки, направление его оператору;
  • выдача предписания о необходимости прекращения нарушения закона с перечнем действий, позволяющих устранить недостатки;
  • привлечение оператора к административной ответственности по различным основаниям, предусмотренным КоАП РФ;
  • направление материалов в правоохранительные органы с постановкой вопроса о привлечении к уголовной ответственности.

На практике чаще всего проверки соблюдения законодательства по хранению и обработке персональных данных проводятся Роскомнадзором. Все три уполномоченные организации достигли взаимопонимания и в порядке межведомственного взаимодействия иногда проводят совместные контрольные мероприятия в отношении одного и того же субъекта, распределяя между собой зоны ответственности и объекты проверок. Роскомнадзор отвечает за общее соблюдение законодательства, ФСТЭК и ФСБ контролируют соблюдение специальных лицензионных требований.

Роскомнадзор

Ведомство отвечает за большой круг правоотношений, связанных с информационными технологиями и использованием сети Интернет. Оно проверяет, насколько точно организации выполняют требования, связанные с обработкой и хранением персональных данных, защитой прав субъектов. Ведомство вправе проверить те данные, которые компания указала в уведомлении о начале занятия видом деятельности, связанным с обработкой персональных данных. Эта форма заполняется на портале организации и одновременно направляется по почте. Требование касается всех организаций, кроме тех, которые обрабатывают только сведения о своих сотрудниках.

Основываясь на законе о персональных данных, ведомство вправе:

ФСТЭК и его полномочия

ФСТЭК отвечает за техническое обеспечение системы защиты персональных данных. Среди его полномочий:

  • запрос у оператора отчета по контролируемым видам деятельности и его проверка;
  • требование копий документов, подтверждающих соответствие используемой компьютерной техники и сертификатов на применяемое программное обеспечение;
  • запрос документации на помещения, подтверждающей то, что они оборудованы должным образом и гарантируют надлежащую защиту персональных данных;
  • выезд на объект и контроль того, насколько эффективно применяются организационные меры, гарантирующие сохранность хранящихся там данных.

Проверка не может длиться более 20 дней. Инспекторы проверяют документы, которые подтверждают соблюдение организацией условий предоставления лицензий, а также ранее направленных компании обязательных для выполнения предписаний ФСТЭК.

Существует 2 типа проверок:

  • документальная (аналог налоговой камеральной). Она происходит в ФСТЭК России или его управлении по тому или иному российскому федеральному округу на основании запрошенных документов и находящихся в них данных. Такой тип контрольных мероприятий может назначаться и в плановом, и во внеочередном, инициативном порядке;
  • выездная. В ее рамках контролируется правильность выполнения требований, поставленных перед компанией в качестве условия выдачи лицензии. Она всегда происходит в офисе самой организации. Назначается этот тип проверочных мероприятий в том случае, когда документарную проверку провести не получается. Такая ситуация возникает тогда, когда те документы, которые есть у ФСТЭК, не позволяют достоверно проконтролировать соблюдение условий лицензии.

Начинается проверка на основании приказа, а завершается выдачей акта или предписания об устранении нарушений.

ФСБ и ее полномочия

Федеральная служба безопасности также проводит контрольные мероприятия, призванные обеспечить точность и правильность соблюдения законодательства о работе с персональными данными, но применительно к используемым субъектом проверки средствам криптографической защиты информации (СКЗИ). В сфере ее компетенции оказываются:

  • запрос у операторов отчета по ведущимся им лицензируемым видам деятельности. Перечень вопросов и глубина контроля не ограничиваются нормативно, оператору нужно быть готовым дать полный отчет по всем аспектам выполнения лицензионных условий;
  • запрос копий документов, выдаваемых в качестве удостоверения соответствия используемых оператором технических средств защиты персональных данных, в структуре которых находятся СКЗИ, установленным нормативными актами требованиям безопасности;
  • проверки точности и правильности выполнения предусмотренных лицензионными условиями организационных мер по обеспечению безопасности объектов, в которых происходит работа организации.

Нарушение требований по охране и обработке персональных данных, защите прав субъектов персональных данных станет основанием для приостановления или прекращения действия лицензии. Проверка может быть назначена только на основании приказа руководителя Центра 8 ФСБ России. В приказе должны быть отражены следующие данные:

  • состав лиц, участвующих в проведении проверки, сотрудников ведомства и привлеченных к участию в проверочных мероприятиях экспертов;
  • данные о проверяемом объекте;
  • параметры проверки, ее цели и задачи, предмет;
  • правовые нормы, на которые опиралось ведомство, назначая проверку;
  • перечень тех проверочных мероприятий, которые предполагается осуществить (запрос документов, опрос свидетелей, осмотр помещений);
  • период проведения проверки.

Важно, что полномочия ведомства законодательно ограничены. В ходе проведения проверок соблюдения законодательства по защите персональных данных оно не вправе:

  • проверять правильность выполнения тех требований закона, которые к компетенции ведомства не относятся;
  • проводить мероприятия, если в этот период в компании отсутствует его директор или иное лицо, уполномоченное им на основании доверенности на взаимодействие с ведомством;
  • требовать передать копии документов, не имеющих отношения к предмету проверки, или изымать оригиналы документов;
  • распространять информацию, полученную в ходе проверки, если она относится к охраняемой законом категории тайн, например, банковской или коммерческой;
  • затягивать проверку без вынесения мотивированного решения;
  • проводить контрольные мероприятия за счет компаний, выдавая им предварительно предписания об этом.

В ходе мероприятий ФСБ проверяет несколько видов требований, в основном технических. К первой группе относятся требования по правильности применения организационных мер. Это:

  • наличие документов, регламентирующих защиту оператором персональных данных с использованием СКЗИ;
  • выполнение ранее выданных рекомендаций ведомства, направленных на правильную организацию связи при передаче персональных данных с применением СКЗИ.

Ко второй группе относятся требования по правильности организации системы мер по криптографической защите персональных данных. Это:

  • наличие в организации модели угроз с указанием потенциальных нарушителей;
  • релевантность этой модели, соответствие ее ранее представленным вводным;
  • соответствие применяемых средств защиты угрозам, освещенным в модели;
  • существование документов, подтверждающих легитимную поставку СКЗИ, обеспечивающих защиту персональных данных, оператору.

К третьей группе проверяемых объектов относится наличие на предприятии разрешительных документов, опосредующих методику защиты персональных данных. Это:

  • проверка существования лицензий, необходимых для использования СКЗИ;
  • наличие сертификатов соответствия на приобретенные и используемые средства защиты персональных данных;
  • наличие документации по эксплуатации этих средств, различных руководств оператора, инструкций, правил работы;
  • проверка соблюдения правил учета СКЗИ;
  • выявление средств, не имеющих необходимых сертификатов.

К четвертой группе проверяемых объектов относятся требования к лицам, допущенным к обслуживанию СКЗИ, обеспечивающих защиту персональных данных. Это:

  • наличие должностных инструкций;
  • порядок кадрового учета;
  • наличие сотрудников на всех предусмотренных штатным расписанием должностях;
  • порядок проведения обучения персонала, работающего с СКЗИ.
Читайте так же:  Заинтересованное лицо признание гражданина умершим

К пятой группе объектов относятся способы эксплуатации средств защиты персональных данных. Это:

  • оценка технического состояния;
  • правильность их ввода в эксплуатацию;
  • оценка правильности выбора применяемого программного обеспечения.

К шестой группе объектов относятся организационные меры, которые обязан применять оператор персональных данных. Это:

  • наличие инструкций;
  • наличие криптоключей;
  • режимные меры.

Полномочия контролирующих органов достаточно широки. Но любое их решение, в случае нарушения ими норм права, можно оспорить в суде: как вынесенное предписание, так и протокол о привлечении к административной ответственности. Однако только скрупулезное соблюдение законодательства о защите персональных данных гарантирует успешное взаимодействие с контролирующими органами.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/kto-kontroliruet-zashchitu-personalnyh-dannyh/

Надзор за обработкой персональных данных

Открытая общественная правовая информационная система

Задать вопрос юристу

  • Главная ›
  • Правовая энциклопедия ›
  • Основы трудового права ›
  • Персональные данные работников ›
  • Что такое контроль и надзор за обработкой персональных данных?

Что такое контроль и надзор за обработкой персональных данных?

Что такое контроль и надзор за обработкой персональных данных?

согласно ст. 23 Закона N 152-ФЗ, федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи осуществляет контроль и надзор за соответствием обработки персональных данных. Уполномоченный орган со своей стороны рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение. Он имеет право:

1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде;

6) направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, применительно к сфере их деятельности, соответствующие сведения;

7) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

8) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

9) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

10) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

Уполномоченный орган по защите прав субъектов персональных данных обязан:

1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;

2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

з) вести реестр операторов;

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.

Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.

Ответственность за нарушение требований Закона N 152-ФЗ предусмотрено ст. 24 Закона N 152-ФЗ. Согласно п.2 ст.24 Закона N 152-ФЗ моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 утверждены требования к защите персональных данных при их обработке Б информационных системах персональных данных» (далее -Требования).

Согласно п.2 Требований безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные так же Законом N 52-ФЗ. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

Видео (кликните для воспроизведения).

Источник: http://xn--80aefurcfeajeho7k.xn--p1ai/Home/Article/3309

Надзор за обработкой персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here