Содержание
- Как подготовиться к проверке регулятора по персональным данным(пошаговая инструкция)
- Кто такие регуляторы и что они проверяют?
- Кто из них что проверяет?
- Как узнать, что вас собираются проверять?
- Что делать, если вас включили в план (пошаговая инструкция)?
- Для Роскомнадзора
- Для ФСТЭКа
- Для ФСБ
- Что делать, если проверка внеплановая?
- Полномочия Роскомнадзора
- Разновидности проверок
- Что именно будут проверять
- Продолжительность проверки
- Особенности подготовки к проверке
- Как осуществляется проверка
- Результаты проверки
- Можно ли обжаловать результаты проверки?
- Проверки операторов персональных данных в 2020 году
- Виды надзорных мероприятий Роскомнадзора
- Акт проверки
- Итоги
Как подготовиться к проверке регулятора по персональным данным(пошаговая инструкция)
Что проверяют регуляторы по персональным данным? Как подготовиться к проверке? Как пройти проверку с наименьшими потерями? Такие вопросы возникают перед руководителями службы безопасности (служб информационной безопасности), когда они узнают о предстоящей проверке. В данной статье речь пойдет о том, как самостоятельно успешно пройти проверку регуляторов, не прибегая к помощи сторонних организаций.Константин Саматов
Начальник отдела по защите информации ТФОМС Свердловской области,
член АРСИБ (Ассоциация руководителей служб информационной безопасности),
преподаватель информационной безопасности УРТК им. А.С. Попова
Кто такие регуляторы и что они проверяют?
Основных контрольно-надзорных органов, уполномоченных проводить проверки в части соблюдения законодательства о персональных данных (т.н. «регуляторов»), три:
- Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомандзор) России;
- Федеральная служба по техническому и экспортному контролю (ФСТЭК) России;
- Федеральная служба безопасности (ФСБ) России.
Кто из них что проверяет?
Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных, на него возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных». По сути – проверка организационных мер защиты персональных данных.
ФСТЭК и ФСБ осуществляет функции по контролю за соблюдением оператором государственных информационных систем организационных и технических мер по защите персональных данных (функции ФСБ ограничены порядком пользования средств криптографической защиты информации).
Как узнать, что вас собираются проверять?
Планы проверок практически всех организаций публикуются на официальном сайте Генеральной прокуратуры РФ в начале года. Здесь любая организация по своему ИНН или ОГРН может узнать о предстоящих в текущем году проверках, их длительности и периоде проведения (указывается только месяц). Также регуляторы обязаны осуществлять размещение планов своих контрольно-надзорных мероприятий на официальных сайтах.
Что делать, если вас включили в план (пошаговая инструкция)?
Шаг 1. Соберите информацию
Поинтересуйтесь у коллег, посмотрите планы проверок за прошедшие годы, подумайте, с кем из тех, кто уже проходил проверку, у вас есть возможность проконсультироваться. Посетите семинары (конференции) с участием представителей регуляторов.
Основных контрольно-надзорных органов, уполномоченных проводить проверки в части соблюдения законодательства о персональных данных (т.н. «регуляторов»), три:
- Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомандзор) России;
- Федеральная служба по техническому и экспортному контролю (ФСТЭК) России;
- Федеральная служба безопасности (ФСБ) России.
Шаг 2. Проведите внутренний аудит
Тут два момента: во-первых, поймете, где вы сейчас. Во-вторых, результаты внутреннего аудита понадобятся вам для предоставления регулятору.
На что смотреть в первую очередь:
- Анализ уведомления в Роскомнадзор. Если проверяющий орган Роскомнадзор, то уведомление желательно обновить за 1–2 месяца до проверки (если, конечно, позволяют сроки).
- Проанализировать политику в области обработки персональных данных. Сделать скриншот с сайта, где она размещена.
- Провести ревизию сертификатов соответствия на средства защиты информации: проверить, чтобы они были действующими и надлежащим образом заверенными.
- Составить перечень имеющихся локальных нормативных актов по защите информации (инструкции, регламенты, приказы, распоряжения).
Шаг 3. Подготовка к проверке
Для всех регуляторов подготавливаются следующие документы:
- Учредительные документы юридического лица: выписка из ЕГРЮЛ, Устав (Положение), приказ о назначении руководителя. Копия документа, удостоверяющего полномочия физического лица, которое будет представлять интересы юридического лица при проведении проверки. Организационно-штатная структура юридического лица (штатное расписание, положение), журнал учета проверок юридического лица.
- Документы, в которых зафиксировано, какие категории персональных данных вы обрабатываете, например: «Политика в области обеспечения безопасности персональных данных», «Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных».
- Перечень информационных систем персональных данных. Как правило, их несколько, так как законодательство не допускает объединение информационных систем персональных данных, созданных в различных целях. Например, информационные системы персональных данных, обрабатывающие данные о клиентах и сведения о сотрудниках, необходимо разделять.
- Модели угроз, акты определения уровня защищенности, формуляры и сертификаты на средства защиты информации.
- Документы о назначении ответственного или структурного подразделения, ответственного за обеспечение обработки персональных данных.
- Перечень лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения ими служебных (трудовых) обязанностей.
- Документы, регламентирующие режимные мероприятия. Например, «Инструкция по режиму безопасности». Журнал (реестр, книга), содержащий персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию или в иных аналогичных целях.
- Документ, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение таких последствий: «Инструкция по реагированию на инциденты информационной безопасности», «Инструкции по внутреннему контролю (аудиту)», акты внутренних проверок.
- Документы, подтверждающие ознакомление сотрудников с внутренними регламентами по обеспечению безопасности персональных данных (листы ознакомления). Также рекомендуется сделать листы ознакомления с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и иными подзаконными актами, которыми вы руководствуетесь при проведении мероприятий по защите персональных данных.
Выше был представлен обобщенный перечень документов, необходимых для предоставления всем регуляторам.
Для Роскомнадзора
Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных, на него возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных». По сути – проверка организационных мер защиты персональных данных.
ФСТЭК и ФСБ осуществляют функции по контролю за соблюдением оператором государственных информационных систем организационных и технических мер по защите персональных данных (функции ФСБ ограничены порядком пользования средств криптографической защиты информации).
В случае проверки Роскомнадзором этот перечень необходимо дополнить:
- Договоры, одной из сторон которых является субъект персональных данных. Например, трудовой договор: желательно, чтобы в нем было согласие на обработку персональных данных.
- Письменное согласие субъектов персональных данных, в том числе работников, на обработку их персональных данных (резюме, анкета, трудовой договор).
- Письменное согласие на обработку биометрических и (или) специальных персональных данных (если они обрабатываются).
- Наличие письменного согласия на трансграничную передачу данных (если передаются).
- Согласие субъекта на передачу его данных третьему лицу (если оператор поручает обработку третьему лицу).
- Документы, устанавливающие порядок уничтожения и обезличивания персональных данных. Например, «Инструкция по делопроизводству», «Инструкция по конфиденциальному делопроизводству».
- Типовые формы документов, характер которых предполагает включение в них персональных данных (бланки согласий, бланки трудовых договоров, анкеты сотрудников, клиентов и т.п.).
- Документы, устанавливающие места хранения материальных носителей персональных данных и порядок их хранения («Инструкция по конфиденциальному делопроизводству» или «Инструкция по режиму безопасности в организации»).
- Локальные документы, регламентирующие порядок и условия обработки персональных данных работников, кандидатов на замещение вакантных должностей, ведение кадрового резерва (при наличии), а также документы, подтверждающие факт ознакомления работника с локальными документами, регламентирующими порядок и условия обработки его персональных данных. Например, «Положение о защите персональных данных сотрудников с листами ознакомления».
Для ФСТЭКа
- Сведения о наличии лицензий на осуществление работ по защите информации.
- Приказ о постоянно действующей технической комиссии по защите информации.
- Сведения о сотрудниках подразделения (штатном специалисте) по защите информации: приказ о назначении, штатная и фактическая численность, стаж в области защиты информации, копии дипломов об обучении, сведения о повышении квалификации, сведения о согласовании кандидатуры руководителя с Управлением ФСТЭК России по региону.
- Сведения об аттестованных объектах информатизации (аттестат) и планируемых к аттестации.
- Сведения о проведении инструментального контроля на объектах информатизации.
- Сведения о наличии аппаратуры контроля эффективности мер по защите информации.
Для ФСБ
- Документы, определяющие выбор криптосредства в соответствии с определенными уровнями защищенности. Например, модель нарушителя (может быть совмещена с моделью угроз), акт определения уровня защищенности.
- Документы по поставке средств криптографической защиты (СКЗИ). Например, договор купли-продажи со спецификацией.
- Эксплуатационная документация на криптосредства: формуляры, руководства оператора, сертификаты и т.п.
- Документы определяющие порядок учета СКЗИ: акты установки СКЗИ, перечень помещений с СКЗИ, журналы учета, журналы передачи СКЗИ.
- Документы, подтверждающие наличие функциональных обязанностей ответственных пользователей СКЗИ. Например, должностные инструкции сотрудников.
- Организация процесса обучения лиц, использующих СКЗИ, правилам работы с ними и другим нормативным документам по организации работ с использованием СКЗИ: листы ознакомления, копии свидетельств о повышении квалификации сотрудников, занятых на работах с СКЗИ, листы проведенных инструктажей, приказы (планы) обучения сотрудников правилам работы с СКЗИ и т.п.
- Инструкция по восстановлению связи в случае компрометации криптографических ключей.
Что делать, если вас включили в план?
- Шаг 1. Соберите информацию.
- Шаг 2. Проведите внутренний аудит.
- Шаг 3. Подготовка к проверке.
- Шаг 4. Непосредственно участие в самой проверке.
Шаг 4. Непосредственно участие в самой проверке
Если проверка документарная, в адрес организации направляется приказ, в котором указывается перечень документов, необходимых для предоставления регулятору и срок. В указанный в нем срок вам необходимо предоставить регулятору запрашиваемые документы любым доступным способом: либо направить по почте, либо нарочно с отметкой о получении. Регулятор примет эти документы, проведет их анализ и по его результатам составит и направит (также либо почтой, либо нарочно) акт и, возможно, предписание.
Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения юридического лица, месту осуществления деятельности индивидуального предпринимателя и (или) по месту фактического осуществления их деятельности. Обычно за 10 дней или месяц до начала проверки направляется по факсу или приносится сотрудником контрольно-надзорного ведомства приказ о проведении проверки. Затем за 1–2 дня обговаривается время, когда комиссия приходит в организацию.
Проверка начинается с ознакомления руководителя организации с документами, удостоверяющими личности и принадлежность к государственному органу членов комиссии, затем вручается приказ о проведении проверки с перечнем вопросов и необходимых для предоставления документов, обговаривается срок их предоставления.
Когда документы подготовлены и вручены проверяющим, комиссия приступает к их анализу. Работа с документами в случае выездной проверки может проходить как на территории организации, так и на территории самого регулятора (члены комиссии могут забрать их с собой). По итогам проверки подготавливается акт, который вручается под роспись руководителю организации. К акту может быть приложено предписание об устранении выявленных нарушений.
Что делать, если проверка внеплановая?
Внеплановая проверка проводится в форме документарной проверки и (или) выездной проверки.
О проведении внеплановой выездной проверки юридическое лицо (индивидуальный предприниматель) уведомляется органом государственного контроля (надзора) не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом. На практике при проведении проверки по тематике персональных данных срок уведомления больше (от 10 дней до 1 месяца).
К уведомлению, как правило, прикрепляется приказ о проведении проверки, перечень документов, необходимых для предоставления регулятору, устанавливается срок. Во всем остальном порядок проведения проверки и ее форма (документарная либо выездная) схожи с плановой. Иными словами, отличие заключается только в сроке и порядке уведомления о контрольно-надзорном мероприятии, а соответственно, основной проблемой будет подготовка недостающих документов и отсутствие времени на сбор необходимой информации и консультации с экспертами, имеющими опыт прохождения подобных проверок.
При этом следует отметить, что выполнение хотя бы части вышеперечисленных требований существенно увеличивает вероятность пройти все регламентные процедуры без предписания и (или) штрафа.
Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.
Полномочия Роскомнадзора
У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:
- Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
- Надзор над предоставлением услуг в области связи.
- Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
- Ведение информационной системы, реестров операторов связи.
- Регистрация СМИ.
- Защита информации, являющейся государственной тайной.
Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Что именно будут проверять
Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.
СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.
Роскомнадзор осуществляет контроль над следующими направлениями:
- Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
- Системы, осуществляющие обработку данных (ПК и программы).
- Наличие локальных нормативных актов.
- Исполнение положений этих актов.
- Сайт организации.
Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.
Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:
- Учредительная документация (ИНН, устав и прочее).
- Уведомление о том, что фирма работает с ПД.
- Перечень ПД, сбор которых осуществляется.
- Перечень работников, у которых есть доступ к данным.
- Приказ о допуске таких сотрудников к ПД.
- Инструкции для специалистов, которые работают с данными.
- Положение об ответственности сотрудников за разглашение ПД.
- Документ об обработке ПД.
- Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
- Соглашение о неразглашении ПД.
- Письменное согласие лиц на обработку.
- Журналы инструктажей относительно мер безопасности.
- Журналы учета носителей сведений.
Роскомнадзор также может затребовать и другие документы.
Продолжительность проверки
Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.
Особенности подготовки к проверке
Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.
Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:
- Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
- Проверка соответствия деятельности информации, прописанной в едином реестре.
- Назначение лица, ответственного за работу с ПД.
- Составление Политики фирмы в отношении обработки ПД.
- Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
- Проверка правильности хранения документов, ограниченности доступа к ним.
- Проверка системы безопасности: наличие замков и сейфов.
Для подготовки бумаг можно использовать специальные онлайн-сервисы.
Как осуществляется проверка
Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.
Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.
Результаты проверки
В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.
Можно ли обжаловать результаты проверки?
Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.
Основания и порядок проведения проверок за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных
На основании Положения об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области (далее – Управление) организацию и проведение плановых и внеплановых мероприятий по соблюдению проверяемыми лицами обязательных требований законодательства Российской Федерации в области персональных данных на территории Иркутской области осуществляет Управление. Плановые проверки проводятся на основании ежегодного плана деятельности Управления (далее — План деятельности), размещаемого на текущий календарный год.
Государственный контроль и надзор включает в себя деятельность органа по контролю и надзору, направленную на предупреждение, выявление и пресечение нарушения операторами персональных данных (далее — операторы) требований Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов посредством:
а) организации и проведения плановых и внеплановых проверок;
б) принятия мер по пресечению и (или) устранению последствий выявленных нарушений;
в) проведения мероприятий по контролю без взаимодействия с операторами;
г) проведения мероприятий по профилактике нарушений.Основанием для включения плановой проверки в отношении оператора в План деятельности является истечение 3 лет со дня:
- государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя;
- окончания последней плановой проверки оператора.
Организация и проведение плановых и внеплановых проверок
Плановая проверка в отношении оператора включается в План деятельности и проводится с периодичностью не чаще одного раза в 2 года со дня окончания его последней плановой проверки в следующих случаях:
- оператор осуществляет обработку персональных данных в информационных системах персональных данных, имеющих в соответствии с федеральными законами статус государственных информационных систем;
- оператор осуществляет сбор биометрических и специальных категорий персональных данных;
- оператор осуществляет трансграничную передачу персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных;
- оператор осуществляет обработку персональных данных по поручению иностранного государственного органа, иностранного юридического лица, иностранного физического лица, которые не зарегистрированы в установленном порядке на территории Российской Федерации.
Внеплановые проверки проводятся на основании приказа органа по контролю и надзору, изданного:
- в случае неисполнения или частичного исполнения оператором предписания об устранении выявленного нарушения, выданного органом по контролю и надзору;
- по результатам рассмотрения обращений граждан, поступивших в орган по контролю и надзору, при условии наличия в обращении материалов, подтверждающих факт нарушения их прав, определенных статьями 14 — 17 Федерального закона «О персональных данных», действиями (бездействием) оператора при обработке их персональных данных;
- в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации;
- на основании требования прокурора об осуществлении внеплановой проверки;
- на основании решения руководителя органа по контролю и надзору по итогам рассмотрения докладной записки, содержащей выводы о наличии нарушений требований, выявленных по результатам проведения мероприятий по контролю без взаимодействия с оператором.
Проверки проводятся органом по контролю и надзору на основании приказа, изданного уполномоченным должностным лицом, в форме документарной или выездной проверки.
Проверка проводится в отношении:
- деятельности оператора по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации, на предмет ее соответствия требованиям, в том числе мер, принимаемых оператором во исполнение требований;
- документов и локальных актов оператора, указанных в части 1 статьи 18.1 Федерального закона «О персональных данных», и принятых оператором мер, указанных в части 1 статьи 18.1 Федерального закона «О персональных данных»;
- информационных систем персональных данных в части, касающейся обработки персональных данных субъектов персональных данных.
Срок проведения плановой проверки не может превышать 20 рабочих дней. Срок проведения плановой проверки может быть продлен однократно не более чем на 20 рабочих дней.
Срок проведения внеплановой проверки не может превышать 10 рабочих дней. Срок проведения внеплановой проверки может быть продлен однократно не более чем на 10 рабочих дней.
Основанием для продления срока проведения проверки является:
а) получение в ходе проведения проверки от правоохранительных органов, в том числе органов прокуратуры, либо из иных источников документов, свидетельствующих о нарушении оператором требований;
б) возникновение обстоятельств непреодолимой силы (затопление, наводнение, пожар и тому подобное) на территории, где проводится проверка;
в) непредставление оператором в ходе проведения проверки необходимых документов;
г) выявление в ходе проведения проверки обстоятельств, связанных с большим объемом проверяемых и анализируемых документов, количеством осуществляемых видов деятельности по обработке персональных данных, разветвленностью организационно-хозяйственной структуры оператора, сложностью технологических процессов обработки персональных данных.
Решение о продлении срока проведения проверки оформляется приказом органа по контролю и надзору с указанием оснований продления срока проведения проверки.
Должностные лица Управления при осуществлении государственного контроля и надзора вправе:
- во время проведения проверки запрашивать и получать от оператора информацию, документы, в том числе локальные акты, необходимые для реализации органом по контролю и надзору своих полномочий;
- посещать во время проведения выездной проверки помещения, используемые оператором при осуществлении деятельности по обработке персональных данных, и проводить их обследование;
- выдавать по итогам проведения проверки предписание об устранении выявленных нарушений;
- использовать во время проведения проверки или мероприятия по контролю без взаимодействия с оператором принадлежащие органу по контролю и надзору технику и оборудование;
- получать во время проведения выездной проверки доступ к информационным системам персональных данных оператора в режиме просмотра и выборки информации, необходимой для оценки законности деятельности по обработке персональных данных, в том числе на предмет соответствия содержания, объема, способов обработки и сроков хранения обрабатываемых персональных данных целям их обработки;
- во время проведения проверки или мероприятия по контролю без взаимодействия с оператором в пределах своей компетенции проверять и оценивать принятые оператором меры по обеспечению выполнения требований;
- по итогам проведения проверки или мероприятия по контролю без взаимодействия с операторами принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований;
- по итогам проведения мероприятия по контролю без взаимодействия с оператором требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- по итогам проведения проверки или мероприятия по контролю без взаимодействия с операторами составлять протоколы об административном правонарушении по основаниям и в порядке, которые установлены законодательством Российской Федерации;
- в рамках проведения выездной проверки обращаться в правоохранительные органы, в том числе в органы прокуратуры, за содействием в предотвращении или пресечении действий, препятствующих осуществлению государственного контроля и надзора должностными лицами, а также в установлении лиц, виновных в нарушении требований;
- в рамках проведения проверки запрашивать и получать от оператора устные и письменные пояснения по вопросам, относящимся к предмету проверки.
Должностные лица Управления при осуществлении государственного контроля и надзора обязаны:
- в рамках проведения проверок, мероприятий по контролю без взаимодействия с операторами, мероприятий по профилактике своевременно и в полной мере исполнять полномочия по предупреждению, выявлению и пресечению нарушений требований;
- проводить проверку на основании приказа органа по контролю и надзору;
- проводить выездную проверку только во время исполнения служебных обязанностей при предъявлении служебных удостоверений и копии приказа органа по контролю и надзору о ее проведении;
- не препятствовать руководителю оператора или иному уполномоченному представителю оператора присутствовать при проведении выездной проверки и давать разъяснения по вопросам, относящимся к предмету проверки;
- знакомить руководителя оператора или иного уполномоченного представителя оператора с результатами проверки;
- учитывать при определении мер, принимаемых по фактам нарушений, выявленных по итогам проведения проверки или мероприятия по контролю без взаимодействия с оператором, соответствие указанных мер тяжести нарушений, а также не допускать необоснованное ограничение прав и законных интересов оператора;
- соблюдать установленные сроки проведения проверки.
Документарная проверка осуществляется должностными лицами Управления в рамках проведения плановой проверки посредством анализа документов и информации, полученных от оператора по письменному запросу органа по контролю и надзору (далее — запрос). Запрос направляется оператору органом по контролю и надзору любым доступным способом.
Внеплановые документарные проверки не проводятся.
Направленные оператору в соответствии с Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации» запросы о получении информации по существу вопросов, указанных в обращениях граждан и иных лиц, поступивших в орган по контролю и надзору, не являются документарной проверкой.
Оператор обязан представить в орган по контролю и надзору документы и информацию, необходимые для проведения документарной проверки, в течение 5 рабочих дней со дня получения запроса.
Указанные документы представляются в виде копий, заверенных печатью (при ее наличии) и подписью руководителя оператора или иного уполномоченного представителя оператора.
Оператор вправе представить документы и информацию в форме электронных документов, подписанных усиленной квалифицированной электронной подписью, в том числе путем их направления с использованием сети «Интернет».
Датой представления оператором в орган по контролю и надзору запрошенных документов и информации считается дата, указанная в отметке органа по контролю и надзору об их принятии.
Документарная проверка проводится по месту нахождения органа по контролю и надзору.
В случае если в ходе документарной проверки выявлены ошибки и (или) противоречия в представленных оператором документах и информации либо несоответствие сведений, содержащихся в этих документах и информации, сведениям, содержащимся в имеющихся у органа по контролю и надзору документах, информация об этом направляется оператору любым доступным способом с требованием представить в течение 3 рабочих дней необходимые пояснения в письменной форме или в форме электронного документа.
В случае непредставления оператором документов и пояснений в установленные сроки орган по контролю и надзору издает приказ о проведении выездной проверки.
Выездная проверка проводится по месту нахождения оператора и (или) по месту фактического осуществления им деятельности по обработке персональных данных.
Выездная проверка оператора — физического лица, не являющегося индивидуальным предпринимателем, не проводится.
Выездная проверка начинается с предъявления служебного удостоверения должностными лицами, ознакомления руководителя оператора или иного уполномоченного представителя оператора с приказом о назначении выездной проверки и с полномочиями должностных лиц, проводящих проверку, а также с целями, задачами, основаниями проведения выездной проверки, видами и объемом мероприятий по контролю, сроками и условиями проведения выездной проверки. До начала проведения выездной проверки должностные лица вручают руководителю оператора или иному уполномоченному представителю оператора письменный запрос о представлении документов и информации, необходимых для проведения проверки.
Оператор обязан представить должностным лицам, уполномоченным на проведение выездной проверки, необходимые для проведения проверки документы и информацию в срок, указанный в запросе, предусмотренном пунктом 33 настоящих Правил. Такой срок не может составлять менее 2 рабочих дней со дня вручения указанного запроса. Оператор создает необходимые условия для проведения выездной проверки, по требованию должностных лиц обеспечивает доступ в помещения и к оборудованию, посредством которого осуществляется обработка персональных данных, и представляет информацию и документацию, необходимые для проведения выездной проверки.
В случае если в ходе проведения выездной проверки представленные оператором документы и информация недостаточны для проведения выездной проверки, должностные лица вручают руководителю оператора или иному уполномоченному представителю оператора дополнение к указанному запросу.
Документы представляются в виде копий, заверенных печатью (при ее наличии) и подписью руководителя оператора или иного уполномоченного представителя оператора. Документы и информация могут быть представлены в форме электронных документов, подписанных усиленной квалифицированной электронной подписью руководителя оператора или иного уполномоченного представителя оператора.
В случае если документы и информация не могут быть представлены в срок, установленный в запросе, , либо отсутствуют, руководитель оператора или иной уполномоченный представитель оператора должен до истечения этого срока представить должностным лицам, проводящим выездную проверку, письменное мотивированное объяснение о причинах невозможности представления документов и информации.
В случае осуществления оператором действий (бездействия), препятствующих проведению выездной проверки, составляется акт о воспрепятствовании проведению выездной проверки.
Акт о воспрепятствовании проведению выездной проверки подписывается должностными лицами, указанными в приказе о ее проведении.
При воспрепятствовании оператором проведению выездной проверки орган по контролю и надзору вправе обратиться в правоохранительные органы, в том числе в органы прокуратуры, за содействием в предотвращении или пресечении действий, препятствующих осуществлению государственного контроля и надзора.
В случае воспрепятствования проведению выездной проверки, невозможности проведения проверки ввиду отсутствия оператора (руководителя оператора или иного уполномоченного представителя оператора) по месту его нахождения и (или) по месту фактического осуществления им деятельности руководителем органа по контролю и надзору (уполномоченным заместителем руководителя) принимается решение о приостановлении проведения проверки на срок не более одного месяца. Период действия срока приостановления проведения проверки не включается в срок проведения выездной проверки.
Решение о возобновлении проведения выездной проверки принимается руководителем органа по контролю и надзору (уполномоченным заместителем руководителя) после устранения причин приостановления проведения выездной проверки.
В случае неустранения причин приостановления проведения выездной проверки должностным лицом органа по контролю и надзору, проводящим выездную проверку, составляется акт о невозможности проведения соответствующей проверки с указанием причин невозможности ее проведения. В этом случае орган по контролю и надзору в течение 3 месяцев со дня составления акта о невозможности проведения выездной проверки вправе принять решение о проведении в отношении оператора плановой или внеплановой выездной проверки без внесения плановой проверки в план по контролю и без предварительного уведомления оператора.
Решение о приостановлении (возобновлении) проведения выездной проверки оформляется приказом органа по контролю и надзору, в котором указываются основания приостановления (возобновления) проведения выездной проверки. Уведомление оператора о приостановлении (возобновлении) проведения выездной проверки осуществляется путем направления копии приказа оператору любым доступным способом в течение 3 рабочих дней со дня издания приказа о приостановлении (возобновлении) проведения выездной проверки.
Проведение мероприятий по контролю без взаимодействия с операторами.
Мероприятия по контролю без взаимодействия с операторами проводятся в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований.
Мероприятия по контролю без взаимодействия с операторами проводятся уполномоченными должностными лицами органа по контролю и надзору на основании заданий на проведение таких мероприятий, утверждаемых руководителем (уполномоченным заместителем руководителя) органа по контролю и надзору.
К мероприятиям по контролю без взаимодействия с операторами относятся:
а) наблюдение за соблюдением требований при размещении информации в сети «Интернет» и средствах массовой информации;
б) наблюдение за соблюдением требований посредством анализа информации о деятельности оператора, которая представляется оператором (в том числе посредством использования федеральных государственных информационных систем) в орган по контролю и надзору в соответствии с федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации или может быть получена (в том числе в рамках межведомственного информационного взаимодействия) органом по контролю и надзору.
Задание на проведение мероприятия по контролю без взаимодействия с оператором выдается в случае:
а) наличия поручения Президента Российской Федерации, Правительства Российской Федерации, а также руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций;
б) обращения государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица, публикации в средствах массовой информации и размещения в сети «Интернет» информации о нарушении прав и законных интересов субъекта (субъектов) персональных данных и (или) нарушении требований.
По итогам проведения мероприятия по контролю без взаимодействия с оператором должностными лицами составляется докладная записка на имя руководителя органа по контролю и надзору (уполномоченного заместителя руководителя).
При выявлении по итогам проведения мероприятия по контролю без взаимодействия с оператором нарушения (признаков нарушения) требований оператору направляется требование об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем персональных данных в течение 10 дней с информированием органа по контролю и надзору об исполнении указанного требования либо с представлением мотивированных пояснений по существу выявленных признаков нарушения требований.
В случае неисполнения оператором указанного в пункте 57 настоящих Правил требования составляется протокол об административном правонарушении в соответствии с Кодексом Российской Федерации об административных правонарушениях.
Досудебный (внесудебный) порядок обжалования решений и действий (бездействия) должностных лиц
Оператор вправе обратиться в орган по контролю и надзору устно (в ходе личного приема) или письменно с жалобой на решения и действия (бездействие) должностных лиц в ходе проведения проверок (далее — жалоба).
Жалоба может быть направлена в форме электронного документа, подписанного усиленной квалифицированной электронной подписью оператора, по адресу электронной почты органа по контролю и надзору, указанному на официальном сайте органа по контролю и надзору в сети «Интернет».
Оператор вправе обжаловать решения и действия (бездействие):
а) должностных лиц территориального органа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций — руководителю территориального органа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций;
б) должностных лиц Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или руководителя территориального органа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций — руководителю Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Личный прием должностными лицами проводится в установленные ими для приема дни и время.
Жалоба рассматривается органом по контролю и надзору в течение 30 дней со дня ее регистрации.
По результатам рассмотрения жалобы принимается решение:
об отказе в удовлетворении жалобы;
о частичном удовлетворении жалобы;
об удовлетворении жалобы — отмене решений должностных лиц (в том числе результатов проверки) либо о возложении на должностных лиц обязанностей по восстановлению прав и (или) интересов лица, направившего жалобу.
Ответ на жалобу подписывается руководителем органа по контролю и надзору (уполномоченным заместителем руководителя). При поступлении жалобы в форме электронного документа ответ на нее подписывается усиленной квалифицированной электронной подписью руководителя органа по контролю и надзору (уполномоченного заместителя руководителя) и направляется оператору любым доступным способом.
Время публикации: 22.06.2013 22:01
Последнее изменение: 07.06.2019 19:25
АДМИНИСТРАЦИЯ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ «ТЕРЕНЬГУЛЬСКИЙ РАЙОН» УЛЬЯНОВСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
от 6 марта 2017 года N 84
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ «ТЕРЕНЬГУЛЬСКИЙ РАЙОН» УЛЬЯНОВСКОЙ ОБЛАСТИ
В соответствии с Федеральным законом от 27.07.2006 N 152 «О персональных данных» и постановлением Правительства Российской Федерации от 21.03.2012 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» Администрация муниципального образования «Тереньгульский район» постановляет:
1. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации муниципального образования «Тереньгульский район» Ульяновской области (Приложение N 1).
2. Контроль за исполнением настоящего постановления возложить на руководителя аппарата Администрации муниципального образования «Тереньгульский район».
3. Настоящее постановление вступает в силу после опубликования в информационном бюллетене «Вестник района».
Глава администрации
муниципального образования
«Тереньгульский район»
В.М.ДЕРГУНОВ
Приложение N 1
к постановлению
администрации МО «Тереньгульский район»
от 6 марта 2017 года N 84
1. Общие положения
Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации муниципального образования «Тереньгульский район» Ульяновской области (далее — Правила) разработаны с учетом требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
Настоящие Правила определяют порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации муниципального образования «Тереньгульский район» Ульяновской области (далее — Администрация) и действуют постоянно.
Исполнение данных Правил обязательно для всех работников Администрации, осуществляющих обработку персональных данных (далее — ПДн), как без использования средств автоматизации, так и в информационных системах обработки персональных данных (далее — ИСПДн).
1. Порядок проведения внутренних проверок
Внутренний контроль соответствия обработки персональных данных установленным требованиям организуется Оператором на основе проведения ежеквартальных проверок условий обработки ПДн.
Проверки осуществляются руководителем аппарата Администрации.
Внутренние проверки также могут проводиться по необходимости и в соответствии с отдельным поручением Главы Администрации муниципального образования «Тереньгульский район» Ульяновской области.
Проверки осуществляются непосредственно на местах обработки персональных данных путем опроса либо, при необходимости, путем осмотра рабочих мест работников Администрации, допущенных к обработке персональных данных.
Результаты каждой проверки оформляются Протоколом проведения внутренней проверки, форма которого установлена в Приложении N 1 к настоящим Правилам.
При выявлении в ходе проверки нарушений в Протоколе делается запись о мероприятиях, необходимых для устранения нарушений, сроках исполнения и ответственных лицах.
Протоколы проверок хранятся в сейфе кабинета N 26 руководителя аппарата Администрации.
Руководитель аппарата Администрации обязан информировать Главу Администрации муниципального образования «Тереньгульский район» Ульяновской области по результатам всех проверок, в результате которых были выявлены нарушения, а также о мерах, которые необходимо принять для их устранения.
2. Содержание проверок внутреннего контроля
В процессе проверки соответствия обработки персональных данных без использования средств автоматизации требованиям к защите персональных данных должно быть установлено:
— порядок и условия хранения бумажных носителей, содержащих персональные данные обрабатываемые в Администрации;
— соблюдение правил доступа к бумажным носителям с персональными данными;
— условия доступа в помещения, где обрабатываются и хранятся бумажные носители с персональными данными;
— наличие или отсутствие фактов несанкционированного доступа к персональным данным и необходимость принятия дополнительных мер по обеспечению безопасности ПДн.
При проведении проверки соответствия обработки персональных данных в ИСПДн Администрации требованиям к защите персональных данных должно быть установлено:
— соответствие используемых Пользователями полномочий параметрам доступа;
— соблюдение Пользователями ИСПДн правил парольной защиты;
— соблюдение Пользователями ИСПДн правил антивирусной защиты;
— соблюдение Пользователями ИСПДн правил работы со съемными носителями персональных данных;
— соблюдение порядка доступа в помещения Администрации, где расположены элементы ИСПДн;
— соблюдение порядка резервирования баз данных и хранения резервных копий;
— своевременность проведения мероприятий по уничтожению персональных данных;
— знание Пользователями ИСПДн своих действий во внештатных ситуациях;
— наличие или отсутствие фактов несанкционированного доступа к ИСПДн и необходимость принятия дополнительных мер по обеспечению безопасности ПДн;
— необходимость мероприятий по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
Приложение N 1. Протокол результатов проведения внутренней проверки условий обработки персональных данных в Администрации муниципального образования «Тереньгульский район» Ульяновской области
Приложение N 1
к Правилам
Проверки операторов персональных данных в 2020 году
Постановлением Правительства РФ от 13.02.2019 № 146 были утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Указанным документом регулируются вопросы проведения проверок персональных данных Роскомнадзором в части соблюдения требований к их защите со стороны операторов.
Предметом проведения проверок является выполнение требований закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Конечной целью проверочных мероприятий РКН, в соответствии с п. 3 Правил, выступает выявление и пресечение нарушений в области защиты персональных данных со стороны операторов. Также эта деятельность надзорного органа направлена на предупреждение совершения подобных правонарушений.
В связи с тем, что постановление № 146 принято не так давно, Роскомнадзор при проверках персональных данных в 2019 году был ограничен. Не все предусмотренные Правилами инструменты могли быть использованы ведомством в 2019 году, поскольку планы проведения надзорных мероприятий ведомством еще не был сформированы.
Виды надзорных мероприятий Роскомнадзора
Правила организации и осуществления государственного контроля и надзора предусматривают следующие виды проверок Роскомнадзора по защите персональных данных:
- плановые — раздел II;
- внеплановые — раздел III;
- документарные — раздел VI;
- выездные — раздел VII.
Документарная проверка может проводиться только в ходе плановой (п. 25), выездная же проверка может быть как плановой, так и внеплановой.
В отношении плановых мероприятий Правила в п. 5 указывают, что они проводятся на основании ежегодного сформированного плана, подлежащего размещению в интернете (на официальном сайте РКН и его территориальных органов). Каждый оператор может ознакомиться с ежегодным планом и при обнаружении в нем себя провести подготовку к проверке Роскомнадзора по персональным данным.
Такие проверки, согласно п. 6 Правил, проводятся не чаще 1 раза в 3 года. При этом 3-летний срок отсчитывается либо с даты начала деятельности оператора персональных данных, либо с даты окончания предыдущей проверки.
Внеплановая же проверка осуществляется вне графика по основаниям, указанным в п. 8 Правил. К таковым, в частности, относятся, обращение гражданина, неисполнение оператором ранее выданного предписания и др.
Акт проверки
По результатам проверки орган РКН, в соответствии с п. 42 и абз. 2 п. 44 Правил, составляет акт проверки и вручает его руководителю проверяемого лица или иному уполномоченному представителю. Из раздела VIII Правил следует, что итоговый акт должен содержать, в частности:
- сведения о должностном лице, непосредственно проводившем проверку;
- указание вида проводимой проверки и ее обстоятельства;
- описание выявленных нарушений;
- ссылки на нормы закона или подзаконных актов, которые были нарушены проверяемым лицом.
Если должностное лицо РКН не выявило никаких нарушений, то в заключении акта проверки Роскомнадзора по защите персональных данных делается соответствующая отметка (п. 43 Правил).
Вручение акта осуществляется лично представителю оператора персональных данных. При этом уполномоченный представитель ставит свою подпись об ознакомлении с актом и получении его второго экземпляра. Также акт может направляться почтовым отправлением с уведомлением о вручении.
П. 44 Правил допускает возможность составления акта в форме электронного документа, подписываемого усиленной квалифицированной электронной подписью. Такой документ направляется оператору в течение 10 дней после подписания.
Итоги
Подведем итоги:
- Правила проведения проверок на предмет соблюдения требований по защите персональных данных со стороны операторов утверждены в начале 2019 года.
- После утверждения плана проведения проверок с ним можно будет ознакомиться на официальном сайте Роскомнадзора и, соответственно, подготовиться к проверке.
- Внеплановая проверка может быть осуществлена по заявлению гражданина, поручению президента или правительства либо в связи с невыполнением ранее выданного предписания.
Более полную информацию по теме вы можете найти в КонсультантПлюс.
Полный и бесплатный доступ к системе на 2 дня.