Справочно-информационная система по защите персональных данных |
В соответствии с пунктом 3 статьи 19 Федерального закона «О защите персональных данных» контроль и надзор за выполнением требований федерального законодательства о защите ПДн осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с ПДн, обрабатываемыми в информационных системах персональных данных.
Федеральными органами, регулирующими деятельность в сфере обработки персональных данных (регуляторы), являются:
■ Роскомнадзор (Федеральная служба по надзору в сфере связи и массовых коммуникаций) - осуществляет контроль и надзор за соответствием обработки ПДн требованиям законодательства.
■ ФСТЭК России (Федеральная служба по техническому и экспортному контролю) - устанавливает методы и способы защиты информации в информационных системах с использованием технических средств.
■ ФСБ России (Федеральная служба безопасности РФ) - устанавливает методы и способы защиты информации в информационных системах в пределах своих полномочий (регулирует сферу использования криптографических средств защиты информации).
Общая схема контроля и надзора представлена на следующей схеме
Основные «источники поступления» персональных данных, а также сферы влияния регуляторов могут быть представлены в виде следующей схемы.
Поименованные выше три ведомства имеют право проводить проверки операторов ПДн по вопросам, связанным с соблюдением законодательства о защите ПДн, однако основания для проверок различны.
В первую очередь операторов ПДн могут коснуться проверки Роскомнадзора. Данное ведомство проводит проверки:
■ по обращению субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки (Федеральный закон от 27.07 2006 № 152-ФЗ),
■ проверка сведений, содержащихся в уведомлении об обработке персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ);
■ внеплановые проверки по контролю нарушений обязательных требований (Федеральный закон от 08.08.2001 № 134-ФЗ).
ФСТЭК России может проводить проверки по следующим основаниям:
■ надзор за деятельностью лицензиата ФСТЭК России (Постановление Правительства РФ от 15.08.2006 № 504);
■ по обращению Роскомнадзора (Федеральный закон от 27.07.2006№152-ФЗ);
■ внеплановые проверки по контролю нарушений обязательных требований (Федеральный закон от 08.08 2001 №134-Ф3).
Основаниями для проведения проверок ФСБ России являются:
■ контроль за соблюдением правил пользования средств криптографической защиты информации (Приказ ФСБ России №66 от 9.02.2005 №ПКЗ-2005);
■ надзор за деятельностью лицензиата ФСБ России (Постановление Правительства РФ от 29.12.2007 № 957);
■ внеплановые проверки по контролю нарушений обязательных требований (Федеральный закон от 8.08.2001 № 134-ФЗ);
■ по обращению Роскомнадзора (Федеральный закон от 27.07.2006 № 152-ФЗ).
Полномочия уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора) определены главой 5 Федераоьного закона «О персональных данных» В частности, частью 2 статьи 23 данного закона предусмотрено, что уполномоченный орган по защите прав субъектов ПДн рассматривает обращения субъекта ПДн о соответствии содержания ПДн и способов их обработки целям их обработки и принимает соответствующее решение.
Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) имеет право:
6. направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7. направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
8. вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
В соответствии с частью 5 статьи 23 Федерального закона «О персональных данных» уполномоченный орган по защите прав субъектов персональных данных обязан:
1. организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
2. рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
3. вести реестр операторов;
4. осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
5. принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа ис полнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
6. информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
Административный регламент проведения проверок Роскомнадзором при осуществлении контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области ПДн (далее - Регламент) утвержден Приказом Министерства связи и массовых коммуникаций РФ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 01.12.2009 № 630 (зарегистрировано в Минюсте РФ 28.01.2010 № 16095).
Рассматриваемым регламентом определены следующие административные процедуры:
Плановые проверки проводятся как в отношении операторов, включенных в реестр операторов, осуществляющих обработку ПДн, так и в отношении операторов, не включенных в Реестр, но осуществляющих обработку ПДн.
В соответствии с пунктом 22 Регламента основанием для включения плановой проверки в План является начало осуществления Оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:
■ государственной регистрации Оператора в качестве юридического лица, индивидуального предпринимателя;
■ окончания проведения последней плановой проверки Оператора.
Внеплановые проверки проводятся по следующим основаниям (п. 27):
■ истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства РФ в области ПДн;
■ поступление в Службу (Роскомнадзор) или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:
§ возникновение угрозы причинения вреда жизни, здоровью граждан;
В ходе проведения проверки Служба или ее территориальный орган осуществляют рассмотрение документов Оператора, а также исследование (обследование) информационной системы персональных данных, в части, касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.
Для Операторов ПДн следует обратить особое внимание на те документы, которые будут рассматриваться в ходе проведения проверки. К таким документам в соответствии с п. 64.1 Регламента относятся:
§ Уведомление об обработке персональных данных.
§ Документы, подтверждающих выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства РФ в области персональных данных.
§ Письменное согласие субъекта персональных данных на обработку его персональных данных.
§ Документы, подтверждающих соблюдение требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных.
§ Документы, подтверждающих уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки.
Плановые и внеплановые проверки проводятся в форме документарной или выездной проверки. Форма проведения проверки определяется Службой или ее территориальным органом самостоятельно. Рассмотреть отличия.
Документарная, в отличии от выездной, проводится по месту нахождения Службы или ее территориального органа. Предметом документарной проверки являются сведения, содержащиеся в документах Оператора, устанавливающих их организационно-правовую форму, права и обязанности, документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, исполнением предписаний Службы или ее территориального органа. То есть в ходе документарной проверки в основном изучаются документы, находящиеся в распоряжении проверяющих.
Если же достоверность сведений, содержащихся в документах, вызывает обоснованные сомнения, либо эти данные не позволяют оценить исполнение Оператором требований, установленных нормативными правовыми актами, то проверяющие вправе направить мотивированный запрос о предоставлении необходимых для проверки документов. Оператор ПДн обязан представить необходимые документы в течение 10 рабочих дней со дня получения запроса.
В случае, если при проведении документарной проверки выявлены ошибки и (или) противоречия или несоответствия в представленных документах, то Оператору может быть направлено требование о предоставлении в течение 10 рабочих дней необходимых пояснений в письменной форме.
Если в результате проведенных мероприятий с учетом дополнительно представленных документов и пояснений будут выявлены признаки нарушений обязательных требований, установленных нормативными правовыми актами в области персональных данных, то должностные органы Службы или ее территориального органа вправе провести выездную проверку.
По результатам проведения проверки составляется акт проверки. Требования к оформлению проверки содержатся в пункте 75 Регламента. Пунктом 83 Регламента предусмотрено, что в случае выявления нарушений Оператору вместе с актом выдается предписание об устранении нарушений (п. 83 Регламента).
Каковы же возможные результаты проведения проверок?
1. Выдача предписания об устранении выявленного нарушения и осуществление контроля за его исполнением;
2. Выявление административного правонарушения и, соответственно, составление протокола об административном правонарушении, направление протокола с материалами проверки в суд либо в прокуратуру;
3. Выявление уголовно наказуемого деяния и, соответственно, направление материалов проверки в органы прокуратуры, другие правоохранительные органы для рассмотрения вопроса о возбуждении уголовного дела.
С целью упрощения изучения Регламента предлагаем следующую справочную информацию в отношении проведения государственного контроля органами Роскомнадзора:
Количественный состав участников проверки |
Не менее двух должностных лиц, в том числе должностное лицо, отвечающее за вопросы правового обеспечения (п. 17) |
Основание проведения проверки |
Приказ руководителя Службы или руководителя территориального органа |
Срок уведомления оператора о начале проведения плановой проверки |
Не позднее чем в течение трех рабочих дней до начала проведения проверки (п. 23) |
Срок уведомления оператора о начале проведения внеплановой проверки |
Не позднее чем за 24 часа до начала ее проведения (п. 29) |
Порядок предварительного уведомления о начале проведения плановой проверки |
Направление оператору копии приказа руководителя (заместителя) службы или его территориального органа (п. 23) |
Порядок предварительного уведомления о начале проведения внеплановой проверки |
Любым доступным способом (п. 29) |
Срок проведения проверки |
20 рабочих дней (продление возможно на срок не более 20 рабочих дней) (п. 31 и п. 32) |
Срок представления требуемых документов |
10 рабочих дней |
Срок представления пояснений |
10 рабочих дней |
Основные нормативные правовые акты регуляторов в сфере защиты ПДн
Таблица 3
№ п/п |
Нормативные правовые акты |
1 |
Приказ ФСТЭК, ФСБ, Мининформсвязи от 13.02.2008 № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» |
2 |
Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.03.2008 № 154 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных» |
3 |
Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций от 17.07.2008 № 08 «Об утверждении образца формы уведомления об обработке персональных данных»4 |
4 |
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 15.02.2008 г.5 |
5 |
«Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 14.02.2008 г.6 |
6 отменен |
«Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн» Утверждены Заместителем директора ФСТЭК России от 15.02.2008 г.7 |
7 отменен |
«Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждены Заместителем директора ФСТЭК России 15.02.2008 г.8 |
8 |
«Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации». Утверждены руководством 8 Центра ФСБ России 21.02.2008 №149/5-144 " |
9 |
«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных». Утверждены руководством 8 Центра ФСБ России 21.02.2008 №149/6/6-622.10 |
10 |
Приказ Мининформсвязи от 01.12.2009 № 630 «Об утверждении административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных» |
11 |
Приказ ФСТЭК России от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» |