Полномочия роскомнадзора в сфере персональных данных - Юридическое бюро Advokat-Popov.Ru
4 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Полномочия роскомнадзора в сфере персональных данных

Кто контролирует защиту персональных данных

Защита персональных данных
с помощью DLP-системы

З ащита персональных данных становится задачей каждой компании, которая получает их в соответствии со своими уставными целями. На эти компании ложатся определенные обязанности – от разработки документации до установки соответствующего программного обеспечения. На определенные государственные ведомства возложены задачи по контролю над соблюдением законодательства, действующего в этой сфере.

Основные регуляторы и их полномочия

Основные предложения и термины в сфере защиты персональных данных определены Федеральным законом № 154-ФЗ. Он же определяет государственные организации, уполномоченные осуществлять контроль в этой сфере. Закон указывает на три ведомства Российской Федерации, на которые возложена обязанность контролировать выполнение юридическими лицами того, что требует от них закон, чтобы эффективно защищать персональные данные граждан. Это такие государственные органы, как:

Виды контроля

Федеральный закон о защите прав юридических лиц № 294-ФЗ назвал основной вид контрольных мероприятий, которые осуществляются в отношении лиц, направивших уведомление о начале занятия бизнесом, связанным с обработкой персональных данных. Это проверки, которые в рамках своих полномочий проводят государственные органы. Согласно законодательству, они могут быть плановыми и внеплановыми. Плановая проверка может быть назначена не ранее чем по прохождении трех лет с момента регистрации или подачи уведомления о работе с персональными данными. Она назначается в год, предшествующий проверке. Сведения о ней, ее срок и проверяемые объекты обязательно вносятся в общегосударственный реестр, который затем размещается на сайте Генеральной прокуратуры. Каждый оператор всегда может знать, будут ли в отношении него производиться плановые проверочные мероприятия.

Внеплановая проверка соблюдения правил защиты персональных данных может быть назначена только при наличии веских причин. Это:

  • наличие заявления гражданина о нарушении его прав или противоправной деятельности, которую ведет компания;
  • сообщение об этом правоохранительного органа;
  • сообщение СМИ;
  • неисполнение предписания, выданного проверяющей организацией по результатам предыдущей плановой проверки;
  • истечение срока предписания и необходимость проверки его выполнения;
  • нарушение законодательства, регулирующего сферу защиты персональных данных;
  • несоответствие данных, внесенных в уведомление, реальной предпринимательской деятельности.

Важно, что внепланово проверяющие ведомства могут прийти в компанию только при наличии согласия органов прокуратуры. Если обращение гражданина, которое могло бы стать основой для проведения проверки, не содержит данных, которые могли бы помочь установить его личность, например, в нем проставлена неразборчивая подпись или отсутствует почтовый адрес, такое заявление не может быть положено в основу проведения проверки.

Если о плановых проверках соблюдения предписаний или требований закона по защите персональных данных компании чаще всего узнают в конце декабря, когда их список появляется на сайте Генпрокуратуры, то о внеплановых проверяющие ведомства обязаны их уведомить не позднее чем за 24 часа. Это делается любым доступным способом, включая электронную почту, факс или телефон. Но есть одно исключение. Если деятельность оператора вышла за рамки закона и таким нарушением был причинен вред человеку, его здоровью или жизни (например, утечка данных стала причиной нападения), то в этом случае уведомлять о проверке не требуется, она проводится незамедлительно после установления такого факта.

Любая проверка не может продолжаться больше 20 дней. Если обстоятельства требуют, она продляется, для малых предприятий – не более чем на 15 часов. Она может быть приостановлена с обязательным письменным уведомлением об этом оператора, если:

  • требуется проведение экспертизы;
  • вынесено мотивированное решение руководителя подразделения ведомства, проводящего проверку.

Завершается проверка несколькими способами:

  • составление акта по результатам проверки, направление его оператору;
  • выдача предписания о необходимости прекращения нарушения закона с перечнем действий, позволяющих устранить недостатки;
  • привлечение оператора к административной ответственности по различным основаниям, предусмотренным КоАП РФ;
  • направление материалов в правоохранительные органы с постановкой вопроса о привлечении к уголовной ответственности.

На практике чаще всего проверки соблюдения законодательства по хранению и обработке персональных данных проводятся Роскомнадзором. Все три уполномоченные организации достигли взаимопонимания и в порядке межведомственного взаимодействия иногда проводят совместные контрольные мероприятия в отношении одного и того же субъекта, распределяя между собой зоны ответственности и объекты проверок. Роскомнадзор отвечает за общее соблюдение законодательства, ФСТЭК и ФСБ контролируют соблюдение специальных лицензионных требований.

Роскомнадзор

Ведомство отвечает за большой круг правоотношений, связанных с информационными технологиями и использованием сети Интернет. Оно проверяет, насколько точно организации выполняют требования, связанные с обработкой и хранением персональных данных, защитой прав субъектов. Ведомство вправе проверить те данные, которые компания указала в уведомлении о начале занятия видом деятельности, связанным с обработкой персональных данных. Эта форма заполняется на портале организации и одновременно направляется по почте. Требование касается всех организаций, кроме тех, которые обрабатывают только сведения о своих сотрудниках.

Основываясь на законе о персональных данных, ведомство вправе:

  • запрашивать у граждан и организаций любую информацию, которая нужна ему для исполнения своих функций, и получать такие данные на безвозмездной основе;
  • проверять всю информацию, которую компания направила в государственный орган, сообщая о начале осуществления деятельности по обработке персональных данных. Контроль проводится как непосредственно ведомством, так и с привлечением иных государственных структур, которые имеют полномочия на проверку указанных сведений;
  • при получении заявления гражданина или по иным причинам требовать от оператора блокировать, стереть или уточнить данные, не отвечающие требованиям достоверности или полученные нелегитимным способом;
  • в случае если обработка персональных данных не соответствует нормам и правилам, установленным для таких операций, самостоятельно, без переноса вопроса на решение суда, принимать решение о приостановке или запрете в дальнейшем заниматься обработкой персональных данных;
  • подавать в суды иски, предметом которых будет защита информационных и личных прав субъектов – носителей персональных данных, представлять в суде интересы таких граждан;
  • направлять запрос в ведомство, выдавшее лицензию оператору на осуществление предпринимательской деятельности, связанной с обслуживанием персональных данных, с просьбой приостановить ее действие или прекратить его, если одним из условий лицензирования был запрет на распространение или передачу персональных данных, не заручившись подписанным их носителем разрешением;
  • писать официальные уведомления в прокуратуру и в органы следствия, направляя материалы, позволяющие решить вопрос о возбуждении уголовного дела, если были зафиксированы признаки деяния, предусмотренного УК РФ и имеющего отношение к неправомерному обращению с персональными данными;
  • принимать обоснованные решения о привлечении операторов и иных лиц, некорректно использующих персональные данные или совершающих иные правонарушения, к ответственности в рамках КоАП РФ.

ФСТЭК и его полномочия

ФСТЭК отвечает за техническое обеспечение системы защиты персональных данных. Среди его полномочий:

  • запрос у оператора отчета по контролируемым видам деятельности и его проверка;
  • требование копий документов, подтверждающих соответствие используемой компьютерной техники и сертификатов на применяемое программное обеспечение;
  • запрос документации на помещения, подтверждающей то, что они оборудованы должным образом и гарантируют надлежащую защиту персональных данных;
  • выезд на объект и контроль того, насколько эффективно применяются организационные меры, гарантирующие сохранность хранящихся там данных.

Проверка не может длиться более 20 дней. Инспекторы проверяют документы, которые подтверждают соблюдение организацией условий предоставления лицензий, а также ранее направленных компании обязательных для выполнения предписаний ФСТЭК.

Существует 2 типа проверок:

  • документальная (аналог налоговой камеральной). Она происходит в ФСТЭК России или его управлении по тому или иному российскому федеральному округу на основании запрошенных документов и находящихся в них данных. Такой тип контрольных мероприятий может назначаться и в плановом, и во внеочередном, инициативном порядке;
  • выездная. В ее рамках контролируется правильность выполнения требований, поставленных перед компанией в качестве условия выдачи лицензии. Она всегда происходит в офисе самой организации. Назначается этот тип проверочных мероприятий в том случае, когда документарную проверку провести не получается. Такая ситуация возникает тогда, когда те документы, которые есть у ФСТЭК, не позволяют достоверно проконтролировать соблюдение условий лицензии.

Начинается проверка на основании приказа, а завершается выдачей акта или предписания об устранении нарушений.

ФСБ и ее полномочия

Федеральная служба безопасности также проводит контрольные мероприятия, призванные обеспечить точность и правильность соблюдения законодательства о работе с персональными данными, но применительно к используемым субъектом проверки средствам криптографической защиты информации (СКЗИ). В сфере ее компетенции оказываются:

  • запрос у операторов отчета по ведущимся им лицензируемым видам деятельности. Перечень вопросов и глубина контроля не ограничиваются нормативно, оператору нужно быть готовым дать полный отчет по всем аспектам выполнения лицензионных условий;
  • запрос копий документов, выдаваемых в качестве удостоверения соответствия используемых оператором технических средств защиты персональных данных, в структуре которых находятся СКЗИ, установленным нормативными актами требованиям безопасности;
  • проверки точности и правильности выполнения предусмотренных лицензионными условиями организационных мер по обеспечению безопасности объектов, в которых происходит работа организации.

Нарушение требований по охране и обработке персональных данных, защите прав субъектов персональных данных станет основанием для приостановления или прекращения действия лицензии. Проверка может быть назначена только на основании приказа руководителя Центра 8 ФСБ России. В приказе должны быть отражены следующие данные:

  • состав лиц, участвующих в проведении проверки, сотрудников ведомства и привлеченных к участию в проверочных мероприятиях экспертов;
  • данные о проверяемом объекте;
  • параметры проверки, ее цели и задачи, предмет;
  • правовые нормы, на которые опиралось ведомство, назначая проверку;
  • перечень тех проверочных мероприятий, которые предполагается осуществить (запрос документов, опрос свидетелей, осмотр помещений);
  • период проведения проверки.

Важно, что полномочия ведомства законодательно ограничены. В ходе проведения проверок соблюдения законодательства по защите персональных данных оно не вправе:

  • проверять правильность выполнения тех требований закона, которые к компетенции ведомства не относятся;
  • проводить мероприятия, если в этот период в компании отсутствует его директор или иное лицо, уполномоченное им на основании доверенности на взаимодействие с ведомством;
  • требовать передать копии документов, не имеющих отношения к предмету проверки, или изымать оригиналы документов;
  • распространять информацию, полученную в ходе проверки, если она относится к охраняемой законом категории тайн, например, банковской или коммерческой;
  • затягивать проверку без вынесения мотивированного решения;
  • проводить контрольные мероприятия за счет компаний, выдавая им предварительно предписания об этом.

В ходе мероприятий ФСБ проверяет несколько видов требований, в основном технических. К первой группе относятся требования по правильности применения организационных мер. Это:

  • наличие документов, регламентирующих защиту оператором персональных данных с использованием СКЗИ;
  • выполнение ранее выданных рекомендаций ведомства, направленных на правильную организацию связи при передаче персональных данных с применением СКЗИ.

Ко второй группе относятся требования по правильности организации системы мер по криптографической защите персональных данных. Это:

  • наличие в организации модели угроз с указанием потенциальных нарушителей;
  • релевантность этой модели, соответствие ее ранее представленным вводным;
  • соответствие применяемых средств защиты угрозам, освещенным в модели;
  • существование документов, подтверждающих легитимную поставку СКЗИ, обеспечивающих защиту персональных данных, оператору.

К третьей группе проверяемых объектов относится наличие на предприятии разрешительных документов, опосредующих методику защиты персональных данных. Это:

  • проверка существования лицензий, необходимых для использования СКЗИ;
  • наличие сертификатов соответствия на приобретенные и используемые средства защиты персональных данных;
  • наличие документации по эксплуатации этих средств, различных руководств оператора, инструкций, правил работы;
  • проверка соблюдения правил учета СКЗИ;
  • выявление средств, не имеющих необходимых сертификатов.

К четвертой группе проверяемых объектов относятся требования к лицам, допущенным к обслуживанию СКЗИ, обеспечивающих защиту персональных данных. Это:

  • наличие должностных инструкций;
  • порядок кадрового учета;
  • наличие сотрудников на всех предусмотренных штатным расписанием должностях;
  • порядок проведения обучения персонала, работающего с СКЗИ.

К пятой группе объектов относятся способы эксплуатации средств защиты персональных данных. Это:

  • оценка технического состояния;
  • правильность их ввода в эксплуатацию;
  • оценка правильности выбора применяемого программного обеспечения.

К шестой группе объектов относятся организационные меры, которые обязан применять оператор персональных данных. Это:

  • наличие инструкций;
  • наличие криптоключей;
  • режимные меры.

Полномочия контролирующих органов достаточно широки. Но любое их решение, в случае нарушения ими норм права, можно оспорить в суде: как вынесенное предписание, так и протокол о привлечении к административной ответственности. Однако только скрупулезное соблюдение законодательства о защите персональных данных гарантирует успешное взаимодействие с контролирующими органами.

Кто контролирует защиту персональных данных

Защита персональных данных
с помощью DLP-системы

З ащита персональных данных становится задачей каждой компании, которая получает их в соответствии со своими уставными целями. На эти компании ложатся определенные обязанности – от разработки документации до установки соответствующего программного обеспечения. На определенные государственные ведомства возложены задачи по контролю над соблюдением законодательства, действующего в этой сфере.

Основные регуляторы и их полномочия

Основные предложения и термины в сфере защиты персональных данных определены Федеральным законом № 154-ФЗ. Он же определяет государственные организации, уполномоченные осуществлять контроль в этой сфере. Закон указывает на три ведомства Российской Федерации, на которые возложена обязанность контролировать выполнение юридическими лицами того, что требует от них закон, чтобы эффективно защищать персональные данные граждан. Это такие государственные органы, как:

Виды контроля

Федеральный закон о защите прав юридических лиц № 294-ФЗ назвал основной вид контрольных мероприятий, которые осуществляются в отношении лиц, направивших уведомление о начале занятия бизнесом, связанным с обработкой персональных данных. Это проверки, которые в рамках своих полномочий проводят государственные органы. Согласно законодательству, они могут быть плановыми и внеплановыми. Плановая проверка может быть назначена не ранее чем по прохождении трех лет с момента регистрации или подачи уведомления о работе с персональными данными. Она назначается в год, предшествующий проверке. Сведения о ней, ее срок и проверяемые объекты обязательно вносятся в общегосударственный реестр, который затем размещается на сайте Генеральной прокуратуры. Каждый оператор всегда может знать, будут ли в отношении него производиться плановые проверочные мероприятия.

Внеплановая проверка соблюдения правил защиты персональных данных может быть назначена только при наличии веских причин. Это:

  • наличие заявления гражданина о нарушении его прав или противоправной деятельности, которую ведет компания;
  • сообщение об этом правоохранительного органа;
  • сообщение СМИ;
  • неисполнение предписания, выданного проверяющей организацией по результатам предыдущей плановой проверки;
  • истечение срока предписания и необходимость проверки его выполнения;
  • нарушение законодательства, регулирующего сферу защиты персональных данных;
  • несоответствие данных, внесенных в уведомление, реальной предпринимательской деятельности.

Важно, что внепланово проверяющие ведомства могут прийти в компанию только при наличии согласия органов прокуратуры. Если обращение гражданина, которое могло бы стать основой для проведения проверки, не содержит данных, которые могли бы помочь установить его личность, например, в нем проставлена неразборчивая подпись или отсутствует почтовый адрес, такое заявление не может быть положено в основу проведения проверки.

Если о плановых проверках соблюдения предписаний или требований закона по защите персональных данных компании чаще всего узнают в конце декабря, когда их список появляется на сайте Генпрокуратуры, то о внеплановых проверяющие ведомства обязаны их уведомить не позднее чем за 24 часа. Это делается любым доступным способом, включая электронную почту, факс или телефон. Но есть одно исключение. Если деятельность оператора вышла за рамки закона и таким нарушением был причинен вред человеку, его здоровью или жизни (например, утечка данных стала причиной нападения), то в этом случае уведомлять о проверке не требуется, она проводится незамедлительно после установления такого факта.

Любая проверка не может продолжаться больше 20 дней. Если обстоятельства требуют, она продляется, для малых предприятий – не более чем на 15 часов. Она может быть приостановлена с обязательным письменным уведомлением об этом оператора, если:

  • требуется проведение экспертизы;
  • вынесено мотивированное решение руководителя подразделения ведомства, проводящего проверку.

Завершается проверка несколькими способами:

  • составление акта по результатам проверки, направление его оператору;
  • выдача предписания о необходимости прекращения нарушения закона с перечнем действий, позволяющих устранить недостатки;
  • привлечение оператора к административной ответственности по различным основаниям, предусмотренным КоАП РФ;
  • направление материалов в правоохранительные органы с постановкой вопроса о привлечении к уголовной ответственности.

На практике чаще всего проверки соблюдения законодательства по хранению и обработке персональных данных проводятся Роскомнадзором. Все три уполномоченные организации достигли взаимопонимания и в порядке межведомственного взаимодействия иногда проводят совместные контрольные мероприятия в отношении одного и того же субъекта, распределяя между собой зоны ответственности и объекты проверок. Роскомнадзор отвечает за общее соблюдение законодательства, ФСТЭК и ФСБ контролируют соблюдение специальных лицензионных требований.

Роскомнадзор

Ведомство отвечает за большой круг правоотношений, связанных с информационными технологиями и использованием сети Интернет. Оно проверяет, насколько точно организации выполняют требования, связанные с обработкой и хранением персональных данных, защитой прав субъектов. Ведомство вправе проверить те данные, которые компания указала в уведомлении о начале занятия видом деятельности, связанным с обработкой персональных данных. Эта форма заполняется на портале организации и одновременно направляется по почте. Требование касается всех организаций, кроме тех, которые обрабатывают только сведения о своих сотрудниках.

Основываясь на законе о персональных данных, ведомство вправе:

  • запрашивать у граждан и организаций любую информацию, которая нужна ему для исполнения своих функций, и получать такие данные на безвозмездной основе;
  • проверять всю информацию, которую компания направила в государственный орган, сообщая о начале осуществления деятельности по обработке персональных данных. Контроль проводится как непосредственно ведомством, так и с привлечением иных государственных структур, которые имеют полномочия на проверку указанных сведений;
  • при получении заявления гражданина или по иным причинам требовать от оператора блокировать, стереть или уточнить данные, не отвечающие требованиям достоверности или полученные нелегитимным способом;
  • в случае если обработка персональных данных не соответствует нормам и правилам, установленным для таких операций, самостоятельно, без переноса вопроса на решение суда, принимать решение о приостановке или запрете в дальнейшем заниматься обработкой персональных данных;
  • подавать в суды иски, предметом которых будет защита информационных и личных прав субъектов – носителей персональных данных, представлять в суде интересы таких граждан;
  • направлять запрос в ведомство, выдавшее лицензию оператору на осуществление предпринимательской деятельности, связанной с обслуживанием персональных данных, с просьбой приостановить ее действие или прекратить его, если одним из условий лицензирования был запрет на распространение или передачу персональных данных, не заручившись подписанным их носителем разрешением;
  • писать официальные уведомления в прокуратуру и в органы следствия, направляя материалы, позволяющие решить вопрос о возбуждении уголовного дела, если были зафиксированы признаки деяния, предусмотренного УК РФ и имеющего отношение к неправомерному обращению с персональными данными;
  • принимать обоснованные решения о привлечении операторов и иных лиц, некорректно использующих персональные данные или совершающих иные правонарушения, к ответственности в рамках КоАП РФ.

ФСТЭК и его полномочия

ФСТЭК отвечает за техническое обеспечение системы защиты персональных данных. Среди его полномочий:

  • запрос у оператора отчета по контролируемым видам деятельности и его проверка;
  • требование копий документов, подтверждающих соответствие используемой компьютерной техники и сертификатов на применяемое программное обеспечение;
  • запрос документации на помещения, подтверждающей то, что они оборудованы должным образом и гарантируют надлежащую защиту персональных данных;
  • выезд на объект и контроль того, насколько эффективно применяются организационные меры, гарантирующие сохранность хранящихся там данных.

Проверка не может длиться более 20 дней. Инспекторы проверяют документы, которые подтверждают соблюдение организацией условий предоставления лицензий, а также ранее направленных компании обязательных для выполнения предписаний ФСТЭК.

Существует 2 типа проверок:

  • документальная (аналог налоговой камеральной). Она происходит в ФСТЭК России или его управлении по тому или иному российскому федеральному округу на основании запрошенных документов и находящихся в них данных. Такой тип контрольных мероприятий может назначаться и в плановом, и во внеочередном, инициативном порядке;
  • выездная. В ее рамках контролируется правильность выполнения требований, поставленных перед компанией в качестве условия выдачи лицензии. Она всегда происходит в офисе самой организации. Назначается этот тип проверочных мероприятий в том случае, когда документарную проверку провести не получается. Такая ситуация возникает тогда, когда те документы, которые есть у ФСТЭК, не позволяют достоверно проконтролировать соблюдение условий лицензии.

Начинается проверка на основании приказа, а завершается выдачей акта или предписания об устранении нарушений.

ФСБ и ее полномочия

Федеральная служба безопасности также проводит контрольные мероприятия, призванные обеспечить точность и правильность соблюдения законодательства о работе с персональными данными, но применительно к используемым субъектом проверки средствам криптографической защиты информации (СКЗИ). В сфере ее компетенции оказываются:

  • запрос у операторов отчета по ведущимся им лицензируемым видам деятельности. Перечень вопросов и глубина контроля не ограничиваются нормативно, оператору нужно быть готовым дать полный отчет по всем аспектам выполнения лицензионных условий;
  • запрос копий документов, выдаваемых в качестве удостоверения соответствия используемых оператором технических средств защиты персональных данных, в структуре которых находятся СКЗИ, установленным нормативными актами требованиям безопасности;
  • проверки точности и правильности выполнения предусмотренных лицензионными условиями организационных мер по обеспечению безопасности объектов, в которых происходит работа организации.

Нарушение требований по охране и обработке персональных данных, защите прав субъектов персональных данных станет основанием для приостановления или прекращения действия лицензии. Проверка может быть назначена только на основании приказа руководителя Центра 8 ФСБ России. В приказе должны быть отражены следующие данные:

  • состав лиц, участвующих в проведении проверки, сотрудников ведомства и привлеченных к участию в проверочных мероприятиях экспертов;
  • данные о проверяемом объекте;
  • параметры проверки, ее цели и задачи, предмет;
  • правовые нормы, на которые опиралось ведомство, назначая проверку;
  • перечень тех проверочных мероприятий, которые предполагается осуществить (запрос документов, опрос свидетелей, осмотр помещений);
  • период проведения проверки.

Важно, что полномочия ведомства законодательно ограничены. В ходе проведения проверок соблюдения законодательства по защите персональных данных оно не вправе:

  • проверять правильность выполнения тех требований закона, которые к компетенции ведомства не относятся;
  • проводить мероприятия, если в этот период в компании отсутствует его директор или иное лицо, уполномоченное им на основании доверенности на взаимодействие с ведомством;
  • требовать передать копии документов, не имеющих отношения к предмету проверки, или изымать оригиналы документов;
  • распространять информацию, полученную в ходе проверки, если она относится к охраняемой законом категории тайн, например, банковской или коммерческой;
  • затягивать проверку без вынесения мотивированного решения;
  • проводить контрольные мероприятия за счет компаний, выдавая им предварительно предписания об этом.

В ходе мероприятий ФСБ проверяет несколько видов требований, в основном технических. К первой группе относятся требования по правильности применения организационных мер. Это:

  • наличие документов, регламентирующих защиту оператором персональных данных с использованием СКЗИ;
  • выполнение ранее выданных рекомендаций ведомства, направленных на правильную организацию связи при передаче персональных данных с применением СКЗИ.

Ко второй группе относятся требования по правильности организации системы мер по криптографической защите персональных данных. Это:

  • наличие в организации модели угроз с указанием потенциальных нарушителей;
  • релевантность этой модели, соответствие ее ранее представленным вводным;
  • соответствие применяемых средств защиты угрозам, освещенным в модели;
  • существование документов, подтверждающих легитимную поставку СКЗИ, обеспечивающих защиту персональных данных, оператору.

К третьей группе проверяемых объектов относится наличие на предприятии разрешительных документов, опосредующих методику защиты персональных данных. Это:

  • проверка существования лицензий, необходимых для использования СКЗИ;
  • наличие сертификатов соответствия на приобретенные и используемые средства защиты персональных данных;
  • наличие документации по эксплуатации этих средств, различных руководств оператора, инструкций, правил работы;
  • проверка соблюдения правил учета СКЗИ;
  • выявление средств, не имеющих необходимых сертификатов.

К четвертой группе проверяемых объектов относятся требования к лицам, допущенным к обслуживанию СКЗИ, обеспечивающих защиту персональных данных. Это:

  • наличие должностных инструкций;
  • порядок кадрового учета;
  • наличие сотрудников на всех предусмотренных штатным расписанием должностях;
  • порядок проведения обучения персонала, работающего с СКЗИ.

К пятой группе объектов относятся способы эксплуатации средств защиты персональных данных. Это:

  • оценка технического состояния;
  • правильность их ввода в эксплуатацию;
  • оценка правильности выбора применяемого программного обеспечения.

К шестой группе объектов относятся организационные меры, которые обязан применять оператор персональных данных. Это:

  • наличие инструкций;
  • наличие криптоключей;
  • режимные меры.

Полномочия контролирующих органов достаточно широки. Но любое их решение, в случае нарушения ими норм права, можно оспорить в суде: как вынесенное предписание, так и протокол о привлечении к административной ответственности. Однако только скрупулезное соблюдение законодательства о защите персональных данных гарантирует успешное взаимодействие с контролирующими органами.

Чем занимается Роскомнадзор: особенности и услуги

Далеко не все люди имеют представление о том, чем занимается Роскомнадзор, поэтому стоит рассмотреть данный вопрос подробно, учитывая тот факт, что это федеральный орган, который осуществляет защиту власти и защищает персональные данные граждан.

Роль Роскомнадзора

В первую очередь стоит отметить, что Роскомнадзор осуществляет полный контроль в сфере средств массовой информации. В том числе контролируются электронные и массовые коммуникации. Дополнительно Роскомнадзор уполномочен защищать и персональные данные граждан, следить, чтобы было полное соответствие при обработке этих данных в Российской Федерации.

  1. Этот орган имеет полное право проводить проверки.
  2. Роскомнадзором проводятся систематические мероприятия по выявлению нарушений.
  3. Федеральный орган имеет полномочия применять наказание в виде пресекательных мер на основании рассмотренных жалоб и обращений от физических лиц.

Задачи, стоящие перед органами исполнительной власти

Чтобы понять более подробно, что такое Роскомнадзор, необходимо познакомиться со всеми задачами, которые стоят перед этим исполнительным органом власти:

  1. Организация занимается тем, что внимательно следит за всей информацией, которая на государственном уровне поступает в средства массовой информации.
  2. Электронные и массовые коммуникации постоянно проверяются на соответствие использования персональных данных каждого человека, пребывающего на территории государства.

Если имеются подозрения в нарушениях, то органы исполнительной власти имеют полное право применить меры пресечения.

Как проводятся проверки

Несмотря на то, что на первый взгляд кажется, что все проходит легко, при осуществлении проверки имеется огромное количество нюансов. Все мероприятия можно поделить на:

  1. Проверки, которые производятся по плану или которые являются неожиданными, то есть внеплановыми.
  2. Документальные проверки с выездом на место.
  3. Также существуют проверки, которые носят название однотерриториальных и многотерриториальных.

Как правило, чаще всего проводятся плановые однотерриториальные проверки. Внимательно изучая закон, можно сделать выводы, что в год можно проводить таких проверок не больше трех. Многие интересуются, как устроен Роскомнадзор? Надо отметить, что проверять юридических лиц и индивидуальных предпринимателей имеет право территориальный надзор. Случается и так, что деятельность субъекта происходит не только в одном районе РФ, поэтому есть общее главное управление Роскомнадзора, а все территориальные отделения имеют право проводить проверки только с разрешения, полученного в главном органе исполнительной власти.

Откуда Роскомнадзор берет информацию

Деятельность Роскомнадзора лучше всего рассматривать на примере такого огромного мегаполиса, как Москва. Чем занимается Роскомнадзор в большом городе, совсем несложно догадаться. Здесь идет большой поток информации, и отследить ее оказывается не так уж и легко, но, благодаря систематичности, орган исполнительной власти отслеживает практически все нарушения и защищает права граждан. Чтобы началась проверка, достаточно жалобы от граждан, которая сопровождается дополнительными сведениями и документами. Если выявляется факт нарушения, то составляется протокол об административном правонарушении. Контрольно-надзорная деятельность проводится территориальными органами в форме:

  1. Систематического наблюдения.
  2. Мониторинга.

Стоит также отметить, что узнать о внеплановых проверках вряд ли получится, а вот просмотреть время плановых можно, обратившись на сайт территориального управления Роскомнадзора.

Как проводится систематическое наблюдение

Рассмотрим подробно, как проверяет Роскомнадзор и какие методы наблюдения для этого используются. В первую очередь стоит ознакомиться с методами контроля, которые могут осуществляться без проверяемого лица. В законодательстве не существует никаких ограничений для проведения мероприятий, которые касаются систематического наблюдения.

Важно рассматривать не только вопрос о том, чем занимается управление Роскомнадзора, но и что именно используется для его деятельности. Чтобы осуществлять систематическое наблюдение, исполнительный орган имеет право использовать разные измерительные приборы. Например, это могут быть анализаторы спектра и другие измерительные комплексы. Роскомнадзор имеет полное право сделать запрос для получения информации в любую организацию, которая имеет хоть какую-то связь с проверяемым объектом.

В чем состоит суть мониторинга

Дополнительно Роскомнадзор имеет полное право проводить мониторинг. Мониторинг СМИ представляет собой специальный контроль, который проводится исполнительным органом во взаимодействии с проверяемым лицом. Мониторинги могут проводиться в таких направлениях:

  1. Рассматриваются приоритетные направления. Например, если цель — противостоять экстремизму, выявить случаи, когда пропагандируются наркотики и жестокость, а также распространяется через СМИ порнография, в таких случаях могут привлекаться и другие государственные органы, такие как ФСБ и прокуратура.
  2. Мониторинг может затрагивать конкурсные города, как правило, к ним относятся те, которые имеют население не более чем 100000 человек. В этих городах осуществляется телерадиовещание, а Роскомнадзор проверяет, чтобы была лицензия.

Роскомнадзор имеет полное право проводить мониторинг, внимательно изучая документы, подписки и печатные издания, а также собирать информацию в местах бесплатного распространения.

Какие применяются пресекательные меры

Мало знать, чем занимается Роскомнадзор и как защищает персональные данные, важно еще помнить, что к нарушителям могут применяться и пресекательные меры. Основной мерой, которая применяется к нарушителям, является административный протокол. Как только управление Роскомнадзора получает доказательства нарушений, информация проверяется и выявляются действительные факты, составляется протокол. Все протоколы составляются согласно законодательству.

Что запрещается упоминать в СМИ

Чтобы не нарушать закон, юридическим лицам стоит помнить о некоторых правилах и нормах, которые четко прописаны в законодательстве. Если орган исполнительной власти выносит телеканалу, например, два предупреждения, то третьего может и не последовать, так как телеканал будет закрыт. Рассмотрим более подробно, что запрещает Роскомнадзор использовать в СМИ:

  1. Строго-настрого запрещается использовать свастику, но при этом могут быть исключения, все зависит от того, в каком она контексте будет употребляться.
  2. На территории России особое внимание уделяется упоминанию в СМИ террористических организаций, которые считаются в стране запрещенными.
  3. Есть отдельный запрет на подачу информации о суициде. Например, нельзя рассказывать о способах, как покончить с собой. Если информация и может выйти в эфир, то она должна носить общий характер.
  4. В интернете в связи с этим существует даже отдельный черный список сайтов. В этот список входят материалы с детской порнографией, способы самоубийств, приготовление наркотических средств и казино, сейчас еще в тот список вошли экстремистские организации.
  5. Для взрослых отдельно существует разрешенная информация, но она обязательно должна помечаться специальной маркировкой. Роскомнадзор рекомендует обращать внимание родителей на данную маркировку, чтобы ограничить доступ к запрещенной для детей информации.

Ответ на вопрос о том, чем занимается Роскомнадзор, очевиден, и в первую очередь главная задача состоит в том, чтобы фильтровать информацию. Если в интернете появляется сайт с запретной тематикой, то при выявлении его блокируют, и он становится недоступным.

Заключение

Правильным решением будет соблюдать законодательство, тогда никаких проблем с Роскомнадзором не возникнет. Для того чтобы выявить нарушение, исполнительный орган постоянно проводит мониторинги, и, чтобы не попасть впросак, следует заранее позаботиться и ознакомиться с плановыми проверками, которые предусмотрены центральным аппаратом Роскомнадзора. Если выявляются нарушения, то могут главного редактора или учредителя вызвать на допрос и взять с него объяснительную. Как правило, приглашение на допрос высылают официальным документом или оповещают по телефону.

Полномочия роскомнадзора в сфере персональных данных

Что такое персональные данные?

Персональные данные — это любая информация, относящаяся к человеку. К персональным данным относятся ФИО, дата рождения, адрес, семейное положение, образование, профессия, пол, гражданство, сведения о документе, удостоверяющем личность, электронная почта, номер банковской карты. Часто операторы, обрабатывающие персональные данные, забывают включить в список данных сведения о составе семьи, о трудовом и общем стаже, о занимаемой должности, о воинском учете, национальность, ИНН и СНИЛС (это персональные данные даже без привязки к ФИО). Если ИНН указан в ЕГРЮЛ, то это общедоступная информация в части налогового законодательства, однако в иных случаях это ПД (персональные данные). Номер телефона без иной информации – это не персональные данные, так как он относится к пользовательскому устройству. Также государственный номер автомобиля не является ПД, так как относится к транспортному средству.

Индивидуальные предприниматели являются операторами ПД. В категории субъектов персональных данных могут входить не только работники, акционеры, клиенты, физлица, состоящие в гражданско-правовых отношениях, но и соискатели, уволенные работники и родственники работников/клиентов.

Обработка персональных данных

Правовыми основаниями для обработки ПД являются Трудовой кодекс РФ, Налоговый кодекс РФ, Генеральная лицензия на осуществление банковских операций, Федеральный закон №115-ФЗ, . Часто в правовых основаниях обработки забывают указать Федеральный закон № 353-ФЗ «О потребительском кредите (займе)», согласие на обработку ПД (работника, соискателя, клиента и т.д.), договоры. ФЗ «О персональных данных» не является правовым основанием!

Политика обработки ПД и локальные нормативные акты по вопросам обработки должны быть опубликованы. Политика и сведения о мерах по защите ПД размещаются на сайте, где ведётся обработка ПД, а также там могут быть размещены и пользовательское соглашение, и условия использования сервисов. Можно опубликовать общую политику на несколько сайтов, но внутри неё должна быть градация.

Для обработки персональных данных необходимо получить согласие субъекта ПД. В согласии должны быть указаны адрес или данные основного документа, удостоверяющего личность субъекта, наименование или ФИО и адрес оператора ПД, перечень ПД, на обработку которых дается согласие и способ отзыва согласия на обработку ПД. При составлении текста согласия можно использовать типовые формы на сайте РКН. Срок действия согласия может быть ограничен сроком или достижением цели.

Указание в согласии нескольких целей допустимо, в том числе на сбор файловой информации cookie (кроме биометрии, спецкатегории и трансграничной передачи на территорию неадекватных по защите ПД стран). На период принятия решения о трудоустройстве нужно получать согласие на обработку ПД от соискателя и его близких родственников, если требуется информация о них. При действии субъектов ПД в интересах третьих лиц нужно их согласие, доверенность (например, при оформлении туристического пакета).

При опубликовании фотографий и иной информации о сотрудниках на сайте нужно их согласие. Это не распространяется на учителей и работников государственных органов, но при любом превышении минимального перечня ПД из закона их согласие тоже нужно получать.

Для передачи персональных данных работников внутри российской группы компаний нужно получать их письменное согласие, а внутри международной группы компаний – письменное согласие и договор-поручение со штаб-квартирой. Одно согласие работника с указанием каждого контрагента даётся для одной цели обработки ПД.

При передаче ПД работников третьи лица, привлекаемые по договору поручения, могут объединены в одно согласие (если цель обработки ПД единая). Третьи лица, привлекаемые по договору поручения, подают уведомления об обработке ПД, кроме ч. 2 ст. 22 ФЗ «О ПД». У оператора нет обязанности предоставлять третьему лицу, привлекаемому по договору поручения, сведения о правовых основаниях обработки ПД.

После достижения целей обработки персональных данных необходимо их уничтожить и оформить акт об уничтожении. Частым нарушением этого требования является обработка ПД соискателей после принятия решения об отказе в устройстве на работу (при отсутствии внешнего кадрового резерва, кроме гос. служащих) и обработка ПД в информационной системе персональных данных по истечении сроков, указанных в законе. Порядок уничтожения ПД должен быть указан в локальных актах.

Необходимо предоставлять в Роскомнадзор уведомления об обработке ПД. В уведомлении указывается только одно ответственное лицо и даются его почта и телефон. Если контактные данные меняются, об этом нужно обязательно уведомить РКН.

Если иностранное юридическое лицо имеет представительство на территории РФ, то можно подать уведомление, а если нет, то уведомление подавать не нужно. Однако требования о локализации такая организация обязана выполнить (базы данных по обработке ПД должны находиться на территории РФ). Кроме того, раз в два года проводятся проверки в отношении таких иностранных компаний.

Чтобы не было нарушений в виде предоставления неполных или недостоверных сведений, рекомендуется проводить внутри организации аудит деятельности оператора по обработке ПД и следить, чтобы ответственное за заполнение уведомления отраслевое подразделение отражало информацию не только о своей деятельности (кадры, бухгалтерия). В организации должны быть планы или материалы проверочных мероприятий, подтверждающие внутренний контроль/аудит ПД (акты, протоколы, докладные записки).

Популярное нарушение — неполный перечень целей обработки ПД. Например, в целях обработки персональных данных часто забывают указать организацию пропускного режима и подбор персонала.

Понятие “база данных” трактуется сотрудниками РКН по внутреннему убеждению, например, любая таблица в Word – это тоже база данных.
Адреса всех баз персональных данных обязательно должны быть указаны в формате 123456, Москва г., ул. ___, д. ___, стр. ___, в том числе базы данных сайта и информационной системы персональных данных оператора. Также необходимо помнить, что база ПД – это не только информационные системы (сервер, центр обработки данных), но и места, где находятся материальные носители (жёсткие диски, картотеки).

При использовании для хранения облачной инфраструктуры требуется договор-поручение с провайдером. Облачная инфраструктура обеспечивает доступ, а эти действия означают обработку, даже не имея самого доступа к ПД.

После прекращения обработки персональных данных или при изменении информации, содержащейся в уведомлении, необходимо предоставить сведения об этом в Роскомнадзор в течение 10 дней.

Согласно ФЗ №152 “О персональных данных”, в организации должно быть лицо, ответственное за организацию обработки ПД. Нарушением является назначение на эту должность нескольких лиц или отсутствие данного полномочия в должностном регламенте. Можно указать полномочия ответственного лица в трудовом договоре или в приказе о назначении лица и наделении полномочиями, но лучше сделать это отдельно в должностной инструкции.

Работников оператора, непосредственно осуществляющие обработку ПД, обязаны быть ознакомлены с положениями законодательства РФ. Для подтверждения этого формируется лист ознакомления работников с положениями законодательства РФ, соответствующие положения включаются в трудовой договор с работником, проводятся курсы для работников (с получением документов) и внутренние обучающие мероприятия. Ознакомление работников с законодательством в электронном виде не в полной мере отвечает требованиям ст. 86 ТК РФ.
Также должен быть утверждён перечень лиц, осуществляющих обработку ПД, либо имеющих к ним доступ.

Составы правонарушений ст. 13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных)

  • Ч. 1 ст. 13.11 КоАП: включение избыточного объема данных, неправомерное размещение изображения гражданина на сайте, неправомерная обработка работодателем ПД близких родственников, неправомерная обработка ПД в целях продвижения товаров, работ, услуг;
  • Ч. 2 ст. 13.11 КоАП: публикация статьи в интернете, которая содержит инфо в большом объеме со специальной категорией ПД без согласия гражданина, письменная форма согласия не соответствовала ч. 4 ст. 9 ФЗ;
  • Ч. 3 ст. 13.11 КоАП: нет политики обработки ПД на сайте;
  • Ч. 4 ст. 13.11 КоАП: нереализация права субъекта на получение информации, которая относится к обработке его ПД;
  • Ч. 5 ст. 13.11 КоАП: нарушение сроков по уточнению, блокированию, уничтожению ПД;
  • Ч. 6 ст. 13.11 КоАП: невыполнение обязанностей по соблюдению условий, обеспечивающих сохранность материальных носителей (например, неправильная утилизация медицинских амбулаторных карт).

Основные проблемы при взаимодействии проверяющих лиц с операторами в рамках проведения плановых/внеплановых проверок

  1. Отсутствие уполномоченного представителя оператора;
  2. Отсутствие документа, подтверждающего полномочия сотрудников на представление интересов оператора и взаимодействие с проверяющими лицами (доверенность, приказ);
  3. Назначение в качестве уполномоченных представителей оператора лиц, не обладающих достаточными профессиональными знаниями;
  4. Отказ в предоставлении запрашиваемой информации и документации;
  5. Отказ в предоставлении доступа в помещения оператора, где осуществляется обработка ПД;
  6. Отказ в предоставлении доступа к оборудованию оператора;
  7. Неумышленное затягивание сроков проведения проверки (продление сроков – это дополнительная административная нагрузка).

При этом важно помнить, что должностные лица РКН:

Роскомнадзор об обработке персональных данных

С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных – любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому управляющие организации являются операторами по обработке персональных данных.

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

Как указано в статье 22 Федерального закона N 152-ФЗ, оператор персональных данных до начала своей деятельности по обработке ПД должен направить уведомление в Роскомнадзор.

В части 2 этой же статьи есть перечень случаев, когда такое уведомление не требуется. Например, уведомление не нужно, если персональные данные обрабатываются в соответствии с главой 14 Трудового кодекса РФ.

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ.

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ.

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Так, например, части 15, 16 статьи 155 ЖК РФ дают управляющим организациям возможность привлекать платёжных агентов для расчёта за пользование услугами собственниками жилья. При этом согласия субъекта на передачу персональных данных не требуется. Это законное основание не собирать согласие на обработку.

В ряде случаев необходимо получение согласия в письменной форме – в отношении специальных категорий персональных данных. Формат письменной формы установлен статьёй 9 закона «О персональных данных». Например, письменным согласием нужно заручиться для обработки биометрических персональных данных (ч. 1 ст. 11 N 152-ФЗ).

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ. Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, – 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом. Ксения Терлецкая

Полезная статья?

Поделитесь с коллегами и друзьями

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.

Ссылка на основную публикацию
Adblock
detector