Контролировать персональные данные

Самое главное по теме: "Контролировать персональные данные" с профессиональной точки зрения. Мы собрали и подготовили ответы на многие сопутствующие вопросы. Если вы не нашли на них ответ, то можете обратиться к дежурному консультанту.

Какие персональные данные являются общедоступными

Защита персональных данных
с помощью DLP-системы

К аждый день физические лица предоставляют личную информацию в различные инстанции. За обработку сведений отвечают операторы персональных данных. Это банки, работодатели, медицинские организации, интернет-сайты и другие структуры. В соответствии с законом операторы обязаны защищать персональную информацию. Для создают источники, где содержатся общедоступные персональные данные (ПД).

Что такое общедоступные ПД?

К общедоступным относят сведения о человеке, которые он или она самостоятельно предоставляет в инстанции. Чтобы к открыть свободный доступ к информации, требуется письменное разрешение человека – субъекта персональных данных. Субъект – это физическое лицо, ПД которого собирает, хранит и обрабатывает оператор. Оператор – это юридическое или физическое лицо, муниципальный или государственный орган власти.

К общедоступным ПД относят сведения о субъекте, по которым его можно идентифицировать:

  • ФИО;
  • дата и место рождения;
  • домашний адрес;
  • номер телефона;
  • профессия;
  • индивидуальный налоговый номер;
  • место работы или учебы и другие сведения.

В состав общедоступных данных может входить любая информация, которая с точки зрения закона не является конфиденциальной. ПД субъекта могут классифицироваться по объему и степени важности информации личного характера.

К общедоступным данным относится также персональная информация, которая предоставляется:

  • при трудоустройстве, заключении контракта или трудового договора;
  • во время переписи населения;
  • при оформлении договорных отношений во время торговых операций и других подобных ситуациях.

Персональные данные субъекта, которые распространяются через СМИ, не относятся к конфиденциальным, так как являются общедоступными в соответствии с «Перечнем сведений конфиденциального характера».

Письменное согласие субъекта на получение, передачу, обработку и другие действия с ПД требуется не всегда. В отдельных случаях, например, при участии в анкетировании или подписке на новостную рассылку, достаточно поставить галочку в графе, которая разрешает использование ПД.

Данные общего типа допускает размещать в источниках, которые являются общедоступными. Это означает, что источники просматривает и использует огромное количество заинтересованных лиц. Пример такого источника – телефонные справочники.

Обработка общедоступных данных

Обработкой общедоступных данных занимаются отделы и подразделения, в обязанности которых входит сбор, систематизация, хранение, изменение, использование и уничтожение ПД. Физические лица вправе запросить сведения об операторе данных и узнать, какую цель преследует оператор во время обработки ПД.

Контроль соблюдения законов при обработке возложен на Роскомнадзор. Определенными ревизионными и контролирующими полномочиями обладают ФСБ и ФСТЭК. Операторы создают системы защиты личных данных для собственных нужд поэтому, в связи с этим лицензировать такую деятельность.

ПД обрабатывают организации, которым для осуществления своей деятельности необходимо собирать, накапливать, обрабатывать и хранить информацию о сотрудниках, поставщиках и клиентах. В определенных случаях такие данные входят в состав открытых.

Права субъектов общедоступных данных

Субъекты ПД могут подать заявление с требованием заблокировать, уничтожить, уточнить или изменить общедоступные данные, если сведения утратили актуальность, являются неполными или не требуются для целей обработки. Субъекты праве также запросить доступ к своим ПД и узнать, какие средства использует оператор для их обработки.

Информация должна использоваться в соответствии с требованиями законодательства и быть защищенной независимо от того, является она конфиденциальной или общедоступной. В обязанности операторов входит обеспечить полную защиту ПД субъекта и ограничить доступа к данных посторонних лиц.

Оператор начинает обрабатывать персональные данные только после получения письменного разрешения субъекта на обработку. Согласие включает информацию о физическом лице и данные оператора: название компании, фамилия, имя и отчество оператора, должность. Также в согласии требуется указать цель обработки и список данных с описанием операций, которые будут выполняться с информацией. Физическое лицо имеет право на отзыв своих ПД и аннулирование своего согласия на обработку.

В случае недееспособности или смерти субъекта согласие на обработку и использование ПД запрашивается у наследников или законных представителей. При этом нужно руководствоваться Федеральным законом о персональных данных.

В случае нарушения требований законодательства виновные несут административную, уголовную и другие виды ответственности. Неважно, являются ли ПД конфиденциальными или общедоступными, в соответствии со статьей 8 ФЗ-152 о персональных данных общедоступные ПД могут размещаться в общедоступных источниках только с согласия субъекта данных. Персональные данные должны быть исключены из источников, если этого требует субъект или уполномоченные органы: Роскомнадзор, суд или другие госструктуры.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/kakie-personalnye-dannye-yavlyayutsya-obshchedostupnymi/

Проверка Роскомнадзора: как подготовиться и избежать штрафов

Проверяя компанию, Роскомнадзор руководствуется прежде всего Федеральным законом №152-ФЗ «О персональных данных». При этом проверка может быть как плановой, так и внеплановой.

Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года. Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит. Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Тем более что в настоящее время Госдума рассматривает законопроект о значительном увеличении штрафов за нарушения в обработке персональных данных.

Виды проверок Роскомнадзора

Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.

— Плановая проверка

О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.

— Внеплановая проверка

Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

— Документарная проверка

В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.

Читайте так же:  Немедленное вступление в силу решения суда

— Выездная проверка

При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.

В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.

Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?

Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований. Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять. Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.

Если привлечение внешнего специалиста для вас дорого, сделайте выбор в пользу бюджетного варианта и используйте специальные онлайн-сервисы для выполнения законодательства о персональных данных.

Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:

Чтобы выслать уведомление в электронном виде, нужно на сайте Роскомнадзора заполнить электронную форму. После отправки электронного уведомления, распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.

В течение 30 дней Роскомнадзор рассмотрит ваше уведомление и добавит компанию в реестр операторов. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона №152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.

Проверка Роскомнадзора: на что обращают внимание инспекторы?

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Какие персональные данные можно обрабатывать без уведомления:

  1. данные, которые обрабатываются в соответствии с трудовым законодательством;
  2. данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  3. данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  4. данные, сделанные субъектом персональных данных общедоступными;
  5. данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
  6. данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
  9. данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.

Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных. К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.

В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

Читайте так же:  Момент получения судебного приказа

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

Источник: http://kontur.ru/articles/1775

Кто контролирует защиту персональных данных

Защита персональных данных
с помощью DLP-системы

З ащита персональных данных становится задачей каждой компании, которая получает их в соответствии со своими уставными целями. На эти компании ложатся определенные обязанности – от разработки документации до установки соответствующего программного обеспечения. На определенные государственные ведомства возложены задачи по контролю над соблюдением законодательства, действующего в этой сфере.

Основные регуляторы и их полномочия

Основные предложения и термины в сфере защиты персональных данных определены Федеральным законом № 154-ФЗ. Он же определяет государственные организации, уполномоченные осуществлять контроль в этой сфере. Закон указывает на три ведомства Российской Федерации, на которые возложена обязанность контролировать выполнение юридическими лицами того, что требует от них закон, чтобы эффективно защищать персональные данные граждан. Это такие государственные органы, как:

Виды контроля

Федеральный закон о защите прав юридических лиц № 294-ФЗ назвал основной вид контрольных мероприятий, которые осуществляются в отношении лиц, направивших уведомление о начале занятия бизнесом, связанным с обработкой персональных данных. Это проверки, которые в рамках своих полномочий проводят государственные органы. Согласно законодательству, они могут быть плановыми и внеплановыми. Плановая проверка может быть назначена не ранее чем по прохождении трех лет с момента регистрации или подачи уведомления о работе с персональными данными. Она назначается в год, предшествующий проверке. Сведения о ней, ее срок и проверяемые объекты обязательно вносятся в общегосударственный реестр, который затем размещается на сайте Генеральной прокуратуры. Каждый оператор всегда может знать, будут ли в отношении него производиться плановые проверочные мероприятия.

Внеплановая проверка соблюдения правил защиты персональных данных может быть назначена только при наличии веских причин. Это:

  • наличие заявления гражданина о нарушении его прав или противоправной деятельности, которую ведет компания;
  • сообщение об этом правоохранительного органа;
  • сообщение СМИ;
  • неисполнение предписания, выданного проверяющей организацией по результатам предыдущей плановой проверки;
  • истечение срока предписания и необходимость проверки его выполнения;
  • нарушение законодательства, регулирующего сферу защиты персональных данных;
  • несоответствие данных, внесенных в уведомление, реальной предпринимательской деятельности.

Важно, что внепланово проверяющие ведомства могут прийти в компанию только при наличии согласия органов прокуратуры. Если обращение гражданина, которое могло бы стать основой для проведения проверки, не содержит данных, которые могли бы помочь установить его личность, например, в нем проставлена неразборчивая подпись или отсутствует почтовый адрес, такое заявление не может быть положено в основу проведения проверки.

Если о плановых проверках соблюдения предписаний или требований закона по защите персональных данных компании чаще всего узнают в конце декабря, когда их список появляется на сайте Генпрокуратуры, то о внеплановых проверяющие ведомства обязаны их уведомить не позднее чем за 24 часа. Это делается любым доступным способом, включая электронную почту, факс или телефон. Но есть одно исключение. Если деятельность оператора вышла за рамки закона и таким нарушением был причинен вред человеку, его здоровью или жизни (например, утечка данных стала причиной нападения), то в этом случае уведомлять о проверке не требуется, она проводится незамедлительно после установления такого факта.

Любая проверка не может продолжаться больше 20 дней. Если обстоятельства требуют, она продляется, для малых предприятий – не более чем на 15 часов. Она может быть приостановлена с обязательным письменным уведомлением об этом оператора, если:

  • требуется проведение экспертизы;
  • вынесено мотивированное решение руководителя подразделения ведомства, проводящего проверку.

Завершается проверка несколькими способами:

  • составление акта по результатам проверки, направление его оператору;
  • выдача предписания о необходимости прекращения нарушения закона с перечнем действий, позволяющих устранить недостатки;
  • привлечение оператора к административной ответственности по различным основаниям, предусмотренным КоАП РФ;
  • направление материалов в правоохранительные органы с постановкой вопроса о привлечении к уголовной ответственности.

На практике чаще всего проверки соблюдения законодательства по хранению и обработке персональных данных проводятся Роскомнадзором. Все три уполномоченные организации достигли взаимопонимания и в порядке межведомственного взаимодействия иногда проводят совместные контрольные мероприятия в отношении одного и того же субъекта, распределяя между собой зоны ответственности и объекты проверок. Роскомнадзор отвечает за общее соблюдение законодательства, ФСТЭК и ФСБ контролируют соблюдение специальных лицензионных требований.

Роскомнадзор

Ведомство отвечает за большой круг правоотношений, связанных с информационными технологиями и использованием сети Интернет. Оно проверяет, насколько точно организации выполняют требования, связанные с обработкой и хранением персональных данных, защитой прав субъектов. Ведомство вправе проверить те данные, которые компания указала в уведомлении о начале занятия видом деятельности, связанным с обработкой персональных данных. Эта форма заполняется на портале организации и одновременно направляется по почте. Требование касается всех организаций, кроме тех, которые обрабатывают только сведения о своих сотрудниках.

Основываясь на законе о персональных данных, ведомство вправе:

ФСТЭК и его полномочия

ФСТЭК отвечает за техническое обеспечение системы защиты персональных данных. Среди его полномочий:

  • запрос у оператора отчета по контролируемым видам деятельности и его проверка;
  • требование копий документов, подтверждающих соответствие используемой компьютерной техники и сертификатов на применяемое программное обеспечение;
  • запрос документации на помещения, подтверждающей то, что они оборудованы должным образом и гарантируют надлежащую защиту персональных данных;
  • выезд на объект и контроль того, насколько эффективно применяются организационные меры, гарантирующие сохранность хранящихся там данных.

Проверка не может длиться более 20 дней. Инспекторы проверяют документы, которые подтверждают соблюдение организацией условий предоставления лицензий, а также ранее направленных компании обязательных для выполнения предписаний ФСТЭК.

Читайте так же:  Где делают загранпаспорт ребенку 5 лет

Существует 2 типа проверок:

  • документальная (аналог налоговой камеральной). Она происходит в ФСТЭК России или его управлении по тому или иному российскому федеральному округу на основании запрошенных документов и находящихся в них данных. Такой тип контрольных мероприятий может назначаться и в плановом, и во внеочередном, инициативном порядке;
  • выездная. В ее рамках контролируется правильность выполнения требований, поставленных перед компанией в качестве условия выдачи лицензии. Она всегда происходит в офисе самой организации. Назначается этот тип проверочных мероприятий в том случае, когда документарную проверку провести не получается. Такая ситуация возникает тогда, когда те документы, которые есть у ФСТЭК, не позволяют достоверно проконтролировать соблюдение условий лицензии.

Начинается проверка на основании приказа, а завершается выдачей акта или предписания об устранении нарушений.

ФСБ и ее полномочия

Федеральная служба безопасности также проводит контрольные мероприятия, призванные обеспечить точность и правильность соблюдения законодательства о работе с персональными данными, но применительно к используемым субъектом проверки средствам криптографической защиты информации (СКЗИ). В сфере ее компетенции оказываются:

  • запрос у операторов отчета по ведущимся им лицензируемым видам деятельности. Перечень вопросов и глубина контроля не ограничиваются нормативно, оператору нужно быть готовым дать полный отчет по всем аспектам выполнения лицензионных условий;
  • запрос копий документов, выдаваемых в качестве удостоверения соответствия используемых оператором технических средств защиты персональных данных, в структуре которых находятся СКЗИ, установленным нормативными актами требованиям безопасности;
  • проверки точности и правильности выполнения предусмотренных лицензионными условиями организационных мер по обеспечению безопасности объектов, в которых происходит работа организации.

Нарушение требований по охране и обработке персональных данных, защите прав субъектов персональных данных станет основанием для приостановления или прекращения действия лицензии. Проверка может быть назначена только на основании приказа руководителя Центра 8 ФСБ России. В приказе должны быть отражены следующие данные:

  • состав лиц, участвующих в проведении проверки, сотрудников ведомства и привлеченных к участию в проверочных мероприятиях экспертов;
  • данные о проверяемом объекте;
  • параметры проверки, ее цели и задачи, предмет;
  • правовые нормы, на которые опиралось ведомство, назначая проверку;
  • перечень тех проверочных мероприятий, которые предполагается осуществить (запрос документов, опрос свидетелей, осмотр помещений);
  • период проведения проверки.

Важно, что полномочия ведомства законодательно ограничены. В ходе проведения проверок соблюдения законодательства по защите персональных данных оно не вправе:

  • проверять правильность выполнения тех требований закона, которые к компетенции ведомства не относятся;
  • проводить мероприятия, если в этот период в компании отсутствует его директор или иное лицо, уполномоченное им на основании доверенности на взаимодействие с ведомством;
  • требовать передать копии документов, не имеющих отношения к предмету проверки, или изымать оригиналы документов;
  • распространять информацию, полученную в ходе проверки, если она относится к охраняемой законом категории тайн, например, банковской или коммерческой;
  • затягивать проверку без вынесения мотивированного решения;
  • проводить контрольные мероприятия за счет компаний, выдавая им предварительно предписания об этом.

В ходе мероприятий ФСБ проверяет несколько видов требований, в основном технических. К первой группе относятся требования по правильности применения организационных мер. Это:

  • наличие документов, регламентирующих защиту оператором персональных данных с использованием СКЗИ;
  • выполнение ранее выданных рекомендаций ведомства, направленных на правильную организацию связи при передаче персональных данных с применением СКЗИ.

Ко второй группе относятся требования по правильности организации системы мер по криптографической защите персональных данных. Это:

  • наличие в организации модели угроз с указанием потенциальных нарушителей;
  • релевантность этой модели, соответствие ее ранее представленным вводным;
  • соответствие применяемых средств защиты угрозам, освещенным в модели;
  • существование документов, подтверждающих легитимную поставку СКЗИ, обеспечивающих защиту персональных данных, оператору.

К третьей группе проверяемых объектов относится наличие на предприятии разрешительных документов, опосредующих методику защиты персональных данных. Это:

  • проверка существования лицензий, необходимых для использования СКЗИ;
  • наличие сертификатов соответствия на приобретенные и используемые средства защиты персональных данных;
  • наличие документации по эксплуатации этих средств, различных руководств оператора, инструкций, правил работы;
  • проверка соблюдения правил учета СКЗИ;
  • выявление средств, не имеющих необходимых сертификатов.
Видео (кликните для воспроизведения).

К четвертой группе проверяемых объектов относятся требования к лицам, допущенным к обслуживанию СКЗИ, обеспечивающих защиту персональных данных. Это:

  • наличие должностных инструкций;
  • порядок кадрового учета;
  • наличие сотрудников на всех предусмотренных штатным расписанием должностях;
  • порядок проведения обучения персонала, работающего с СКЗИ.

К пятой группе объектов относятся способы эксплуатации средств защиты персональных данных. Это:

  • оценка технического состояния;
  • правильность их ввода в эксплуатацию;
  • оценка правильности выбора применяемого программного обеспечения.

К шестой группе объектов относятся организационные меры, которые обязан применять оператор персональных данных. Это:

  • наличие инструкций;
  • наличие криптоключей;
  • режимные меры.

Полномочия контролирующих органов достаточно широки. Но любое их решение, в случае нарушения ими норм права, можно оспорить в суде: как вынесенное предписание, так и протокол о привлечении к административной ответственности. Однако только скрупулезное соблюдение законодательства о защите персональных данных гарантирует успешное взаимодействие с контролирующими органами.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/kto-kontroliruet-zashchitu-personalnyh-dannyh/

Все о персональных данных

goldyg / Shutterstock.com

СОДЕРЖАНИЕ

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Такое широкое толкование позволяет относить к персональным данным практически любую информацию о человеке: сведения о его ФИО, поле и возрасте, образовании, месте жительства, семейном положении и др. Помимо этого к персональным данным относится и изображение человека, с помощью которого можно установить его личность – например, фотография, видеозапись или портрет (разъяснения Роскомнадзора от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав, а также совершаемые с ними действия (п. 2 ст. 3 закона о персональных данных).

Читайте так же:  Моральным вредом называется

Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона о персональных данных).

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 закона о персональных данных).

С 1 июля 2017 года ужесточилась административная ответственность за нарушения, допущенные при обработке персональных данных. Рассмотрим подробнее, какие правила необходимо соблюдать при работе с ними и какая ответственность теперь грозит нарушителям.

Последняя актуализация: 30 августа 2017 г.

Документы по теме:

Читайте также:

Персональные данные: успеть обеспечить защиту!
Предпринимателей могут обязать хранить персональные данные граждан РФ на российских серверах не с 1 сентября 2016 года, как планировалось ранее, а уже с 1 сентября 2015 года.

Кибербезопасность и цифровой суверенитет: стимул или препятствие для развития IT-рынка?
Разберемся, как от киберугроз планируется защищать персональные данные, чего ждать от Доктрины информационной безопасности и каковы перспективы развития законопроекта о критической инфраструктуре.

Источник: http://www.garant.ru/actual/persona/

Контролировать персональные данные

Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

Оцените содержание раздела:

Низкое Ниже среднего Среднее Выше среднего Высокое Оценить

Время публикации: 20.08.2009 14:03
Последнее изменение: 16.02.2018 16:26

© 2009-2020, Версия 2.15.18

Официальный сайт Федеральной службы по надзору в сфере связи,

информационных технологий и массовых коммуникаций

Источник: http://rkn.gov.ru/personal-data/

Операторов обработки персональных данных начнут проверять по новым правилам

Как теперь будут проводиться проверки юрлиц и индивидуальных предпринимателей и как к ним подготовиться?

13 февраля 2019 г. Правительством РФ были приняты 1 Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных (далее – Правила). Они вступили в силу 23 февраля и обязательны к применению Роскомнадзором, который и должен контролировать обработку таких данных.

Если вы собираете, храните и используете персональные данные, то мы рекомендуем вам ознакомиться с нововведениями в процедуре проведения плановых и внеплановых проверок, внесенными новыми Правилами.

Кто считается оператором обработки персональных данных и кого будут проверять?

Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных). Проверки операторов осуществляются согласно п. 1 Правил и ч. 1.1 ст. 23 Закона о персональных данных 2 .

В то же время из п. 6 Правил следует, что плановые проверки проводятся в отношении юридических лиц и индивидуальных предпринимателей. В отношении иных лиц, судя по всему, будут проводиться только внеплановые проверки.

Стоит учитывать, что на порядок осуществления таких проверок не распространяются положения Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» 3 (п. 20 ч. 3.1 ст. 1 этого закона). Это означает, что правительство вправе устанавливать иной порядок организации и проведения проверок, чем тот, который определен данным законом. Принятые Правила на данный момент в целом соответствуют Закону о проверках, но в последующем они могут быть изменены. Оператору при этом необходимо будет руководствоваться именно положениями Правил, а не нормами Закона о проверках.

По каким правилам раньше проводились проверки?

Ранее проверки и иные подобные мероприятия проводились на основании Административного регламента Роскомнадзора (далее – Регламент).

Он не был изменен и не утратил силу на момент подготовки данного материала. Однако применяться Регламент будет лишь в той части, которая не противоречит Правилам, поскольку они утверждены нормативным актом более высокого уровня. Можно ожидать, что Регламент будет приведен в соответствие с Правилами в ближайшее время.

Как часто будут осуществляться проверки?

Пунктом 33 Регламента установлено, что плановые проверки проводятся один раз в три года. Данный срок указан и в п. 6 Правил.

Кроме того, определено специальное правило в отношении операторов:

  • обрабатывающих персональные данные в государственных информационных системах;
  • осуществляющих сбор биометрических или специальных категорий персональных данных;
  • осуществляющих трансграничную передачу персональных данных на территорию, на которой не обеспечивается адекватная защита прав субъектов;
  • осуществляющих обработку персональных данных по поручению иностранного лица или органа власти, которые не зарегистрированы в России.

Плановые проверки таких операторов будут проводиться один раз в два года.

Как узнать, когда будет проводиться проверка?

Сведения о проведении плановых проверок должны быть включены в ежегодный план, размещаемый Роскомнадзором на своем официальном сайте. Кроме того, о плановой проверке ведомство должно уведомить оператора не позднее чем за три рабочих дня до начала ее проведения. Сообщается об этом заказным письмом или по электронной почте, если ее адрес размещен на сайте оператора.

О проведении внеплановой проверки Роскомнадзор обязан уведомить оператора любым способом не позднее чем за 24 часа до начала ее проведения.

Как долго проверка будет длиться?

Пунктом 20 Регламента было установлено, что срок проведения плановых и внеплановых проверок не может превышать 20 рабочих дней и может быть продлен не более чем на 20 рабочих дней. Для субъектов малого предпринимательства были определены иные сроки проведения проверок: не более 50 часов для малого предприятия и не более 15 часов для микропредприятия.

В новых Правилах сократили срок проведения внеплановых проверок. Теперь он составляет не более 10 рабочих дней и может быть продлен в исключительных случаях не более чем на 10 рабочих дней (п. 17 Правил). При этом в Правилах отсутствует указание на другие сроки проведения проверок для субъектов малого предпринимательства.

Также установлено правило исчисления сроков проведения проверок операторов, действующих на территории нескольких субъектов РФ. Они исчисляются в отношении каждого филиала, однако совокупный срок проверки не может превышать более 60 рабочих дней (п. 18 Правил).

Читайте так же:  План проверки ревизионной комиссии

В каких случаях возможны внеплановые проверки?

Регламентом предусмотрены следующие основания для проведения внеплановых проверок:

  • неисполнение оператором выданного Роскомнадзором предписания об устранении нарушений;
  • поступление в Роскомнадзор информации о причинении вреда жизни и здоровью граждан или возникновении угрозы причинения такого вреда вследствие ненадлежащего исполнения оператором своих обязанностей;
  • приказ руководителя Роскомнадзора или его территориального подразделения, изданный в соответствии с поручением президента, правительства или прокуратуры.

В п. 8 Правил основания для проведения внеплановых проверок несколько изменены:

  • они могут быть назначены после поступления в Роскомнадзор любых сведений о нарушении прав субъектов персональных данных, предусмотренных гл. 3 Закона о персональных данных. Например, если такой субъект сообщил об утечке информации;
  • поручения президента и правительства, а также требования прокурора являются теперь самостоятельным основанием для проведения внеплановых проверок;
  • они также могут быть назначены по решению руководителя Роскомнадзора на основании проведенных сотрудниками этого ведомства мероприятий по контролю без взаимодействия с операторами (о них далее).

Как будет проходить проверка?

Проверки могут проходить в двух формах – документарной (когда Роскомнадзор проверяет предоставленные оператором документы без личной явки к нему) и выездной (когда проверка осуществляется сотрудниками Роскомнадзора по месту нахождения оператора).

Документарными могут быть только плановые проверки (п. 25 Правил). В этом случае Роскомнадзор запрашивает у оператора интересующие документы, которые он обязан представить в течение пяти рабочих дней со дня получения запроса. Непредставление сведений является основанием для привлечения к административной ответственности (ст. 19.7 КоАП РФ).

Если в документах будут выявлены ошибки или неточности, Роскомнадзор направит дополнительный запрос. Ответ на него оператор должен дать в течение трех рабочих дней. В противном случае Роскомнадзор вправе назначить выездную проверку. Она осуществляется по месту нахождения оператора и не может проводиться в отношении физических лиц, не являющихся индивидуальными предпринимателями (п. 32 Правил).

Оператор обязан обеспечить сотрудникам Роскомнадзора все условия для проведения проверки, в том числе представить запрошенные ими документы. По итогам составляется акт проверки (п. 42 Правил). В случае выявления нарушений оператору выдается предписание об их устранении. Также он может быть привлечен к административной ответственности.

Возможна проверка без взаимодействия с оператором?

Правилами регламентирована новая форма осуществления контроля – это мероприятия, которые проводятся без взаимодействия с операторами. В их рамках осуществляются:

  • проверка информации, размещенной оператором в интернете и СМИ, – например, сведений о политике обработки персональных данных;
  • анализ информации, предоставленной оператором или полученной Роскомнадзором от органов государственной власти в рамках межведомственного взаимодействия, – например, сведений, указанных оператором в уведомлении об обработке персональных данных.

Основаниями для проведения данных мероприятий являются поручения президента, правительства или руководителя Роскомнадзора, а также поступление в Роскомнадзор информации от физических или юридических лиц, из интернета или СМИ о нарушении прав субъектов персональных данных или обязательных требований. Например, причиной такой проверки могут стать размещенные в СМИ сведения о допущенной оператором утечке персональных данных.

Как подготовиться к проверке?

Следует учитывать, что Роскомнадзор в первую очередь обращает внимание на следующие моменты:

Если осуществляется внеплановая проверка в связи с поступлением в Роскомнадзор сведений о нарушениях прав субъектов персональных данных или если ведомство выявило такие нарушения в ходе проведения дистанционного контроля – рекомендуется заранее предоставить пояснения по выявленным нарушениям.

Следует учитывать, что утвержденные Правила не распространяются на контроль и надзор за обеспечением безопасности обработки персональных данных, которая осуществляется в информационных системах, установленных в соответствии со ст. 19 Закона о персональных данных. Контролируют выполнение этих требований закона ФСБ и ФСТЭК.

Что будет, если проверяющие выявят нарушения?

В этом случае оператору направляется требование об устранении нарушений, которое должно быть исполнено в течение 10 дней. Также может быть назначена внеплановая проверка.

Невыполнение предписания уполномоченного органа является основанием для привлечения к административной ответственности (ч. 1 ст. 19.5 КоАП РФ) и наложения штрафа в размере до 500 руб. на граждан, до 2 тыс. руб. – на должностных лиц, до 20 тыс. руб. – на организации. Должностное лицо может быть также дисквалифицировано на срок до трех лет.

Кроме того, оператор может быть привлечен к административной ответственности (ст. 13.11 КоАП РФ), если в его действиях будут выявлены признаки правонарушения в сфере персональных данных. Например, если станет известно, что оператор не опубликовал сведения о политике обработки персональных данных, то он может быть привлечен к ответственности по ч. 3 ст. 13.11 КоАП РФ.

Что делать оператору, если он не согласен с результатами проверки?

Оператор может обжаловать действия проверяющих и их решения. Жалоба направляется руководителю территориального подразделения Роскомнадзора или руководителю ведомства, если нарушения допущены сотрудниками центрального подразделения. Жалоба может быть устной или письменной, в том числе в форме электронного документа, и должна быть рассмотрена должностным лицом в течение 30 дней со дня ее регистрации.

Акт проверки, составленный сотрудниками Роскомнадзора, может быть оспорен в досудебном порядке, описанном выше, либо в судебном порядке.

Привлечение оператора к административной ответственности может быть обжаловано в порядке, предусмотренном КоАП РФ.

1 Постановление Правительства РФ от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».

2 Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

3 Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Видео (кликните для воспроизведения).

Источник: http://www.advgazeta.ru/ag-expert/advices/operatorov-obrabotki-personalnykh-dannykh-nachnut-proveryat-po-novym-pravilam/

Контролировать персональные данные
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here