Справочно-информационная система по защите персональных данных

Структура, задачи и основные функции органов государственной власти, отвечающих за организацию защиты персональных данных в РФ.

Регуляторы в сфере обработки персональных данных

В соответствии с пунктом 3 статьи 19 Федерального закона «О защите персональных данных» контроль и надзор за выполнением требований федерального законодательства о защите ПДн осуществляются федераль­ным органом исполнительной власти, уполномоченным в области обес­печения безопасности, и федеральным органом исполнительной власти уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без пра­ва ознакомления с ПДн, обрабатываемыми в информационных системах персональных данных.

Федеральными органами, регулирующими деятельность в сфере об­работки персональных данных (регуляторы), являются:

■       Роскомнадзор (Федеральная служба по надзору в сфере связи и массовых коммуникаций) - осуществляет контроль и надзор за соответствием обработки ПДн требованиям законодательства.

■       ФСТЭК России (Федеральная служба по техническому и экс­портному контролю) - устанавливает методы и способы защи­ты информации в информационных системах с использованием технических средств.

■       ФСБ России (Федеральная служба безопасности РФ) - устанавли­вает методы и способы защиты информации в информационных системах в пределах своих полномочий (регулирует сферу ис­пользования криптографических средств защиты информации).

Общая схема контроля и надзора представлена на следующей схеме

Основные «источники поступления» персональных данных, а также сферы влияния регуляторов могут быть представлены в виде следующей схемы.

 

Поименованные выше три ведомства имеют право проводить провер­ки операторов ПДн по вопросам, связанным с соблюдением законода­тельства о защите ПДн, однако основания для проверок различны.

В первую очередь операторов ПДн могут коснуться проверки Роскомнадзора. Данное ведомство проводит проверки:

■        по обращению субъекта персональных данных о соответствии со­держания персональных данных и способов их обработки целям их обработки (Федеральный закон от 27.07 2006 № 152-ФЗ),

■        проверка сведений, содержащихся в уведомлении об обработ­ке персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ);

■        внеплановые проверки по контролю нарушений обязательных требований (Федеральный закон от 08.08.2001 № 134-ФЗ).

ФСТЭК России может проводить проверки по следующим основаниям:

■       надзор за деятельностью лицензиата ФСТЭК России (Постановле­ние Правительства РФ от 15.08.2006 № 504);

■       по обращению Роскомнадзора (Федеральный закон от 27.07.2006№152-ФЗ);

■       внеплановые проверки по контролю нарушений обязательных тре­бований (Федеральный закон от 08.08 2001 №134-Ф3).

 

Основаниями для проведения проверок ФСБ России являются:

■    контроль за соблюдением правил пользования средств криптог­рафической защиты информации (Приказ ФСБ России №66 от 9.02.2005 №ПКЗ-2005);

■    надзор за деятельностью лицензиата ФСБ России (Постановление Правительства РФ от 29.12.2007 № 957);

■    внеплановые проверки по контролю нарушений обязательных требований (Федеральный закон от 8.08.2001 № 134-ФЗ);

■    по обращению Роскомнадзора (Федеральный закон от 27.07.2006 № 152-ФЗ).

Права и обязанности Роскомнадзора

Полномочия уполномоченного органа по защите прав субъектов пер­сональных данных (Роскомнадзора) определены главой 5 Федераоьного закона «О персональных данных» В частности, частью 2 статьи 23 дан­ного закона предусмотрено, что уполномоченный орган по защите прав субъектов ПДн рассматривает обращения субъекта ПДн о соответствии содержания ПДн и способов их обработки целям их обработки и прини­мает соответствующее решение.

Уполномоченный орган по защите прав субъектов персональных дан­ных (Роскомнадзор) имеет право:

  1. запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
  2. осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
  3. требовать от оператора уточнения, блокирования или уничто­жения недостоверных или полученных незаконным путем пер­сональных данных,
  4. принимать в установленном законодательством Российской Фе­дерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушени­ем требований настоящего Федерального закона,
  5. обращаться в суд с исковыми заявлениями в защиту прав субъ­ектов персональных данных и представлять интересы субъектов персональных данных в суде;

6.         направлять заявление в орган, осуществляющий лицензирова­ние деятельности оператора, для рассмотрения вопроса о при­нятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осу­ществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письмен­ной форме субъекта персональных данных;

7.         направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголов­ных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подве­домственностью;

8.         вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

  1. привлекать к административной ответственности лиц, винов­ных в нарушении настоящего Федерального закона.

В соответствии с частью 5 статьи 23 Федерального закона «О персо­нальных данных» уполномоченный орган по защите прав субъектов пер­сональных данных обязан:

1.        организовывать в соответствии с требованиями настоящего Фе­дерального закона и других федеральных законов защиту прав субъектов персональных данных;

2.   рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

3.        вести реестр операторов;

4.        осуществлять меры, направленные на совершенствование защи­ты прав субъектов персональных данных;

5.        принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа ис­ полнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим раз­ведкам и технической защиты информации, меры по приоста­новлению или прекращению обработки персональных данных;

6.           информировать государственные органы, а также субъектов пер­сональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

  1. выполнять иные предусмотренные законодательством Российс­кой Федерации обязанности.

Особенности проведения проверок Роскомнадзором

Административный регламент проведения проверок Роскомнадзором при осуществлении контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области ПДн (далее - Регламент) утвержден Приказом Министерства связи и массовых коммуникаций РФ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуника­ций от 01.12.2009 № 630 (зарегистрировано в Минюсте РФ 28.01.2010 № 16095).

Рассматриваемым регламентом определены следующие администра­тивные процедуры:

  • принятие решений о проведении проверок;
  • проведение проверок;
  • оформление результатов и принятие мер по результатам проверок.

Плановые проверки проводятся как в отношении операторов, вклю­ченных в реестр операторов, осуществляющих обработку ПДн, так и в отношении операторов, не включенных в Реестр, но осуществляющих обработку ПДн.

В соответствии с пунктом 22 Регламента основанием для включения плановой проверки в План является начало осуществления Оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:

■       государственной регистрации Оператора в качестве юридичес­кого лица, индивидуального предпринимателя;

■       окончания проведения последней плановой проверки Оператора.

Внеплановые проверки проводятся по следующим основаниям (п. 27):

■       истечение срока исполнения Оператором ранее выданного пред­писания об устранении выявленного нарушения установленных требований законодательства РФ в области ПДн;

■       поступление в Службу (Роскомнадзор) или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:

 

§       возникновение угрозы причинения вреда жизни, здоровью граждан;

  • причинение вреда жизни, здоровью граждан.

В ходе проведения проверки Служба или ее территориальный орган осуществляют рассмотрение документов Оператора, а также исследова­ние (обследование) информационной системы персональных данных, в части, касающейся персональных данных субъектов персональных дан­ных, обрабатываемых в ней.

Для Операторов ПДн следует обратить особое внимание на те доку­менты, которые будут рассматриваться в ходе проведения проверки. К та­ким документам в соответствии с п. 64.1 Регламента относятся:

§      Уведомление об обработке персональных данных.

  • Документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства РФ в области персональ­ных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган.

§         Документы, подтверждающих выполнение Оператором предпи­саний об устранении ранее выявленных нарушений законода­тельства РФ в области персональных данных.

§         Письменное согласие субъекта персональных данных на обра­ботку его персональных данных.

§         Документы, подтверждающих соблюдение требований законо­дательства Российской Федерации при обработке специальных категорий и биометрических персональных данных.

§         Документы, подтверждающих уничтожение Оператором персо­нальных данных субъектов персональных данных по достиже­нии цели обработки.

  • Локальные акты Оператора, регламентирующие порядок и усло­вия обработки персональных данных.

 

Плановые и внеплановые проверки проводятся в форме документар­ной или выездной проверки. Форма проведения проверки определяется Службой или ее территориальным органом самостоятельно. Рассмотреть отличия.

Документарная, в отличии от выездной, проводится по месту нахожде­ния Службы или ее территориального органа. Предметом документарной проверки являются сведения, содержащиеся в документах Оператора, ус­танавливающих их организационно-правовую форму, права и обязаннос­ти, документы, используемые при осуществлении деятельности по обра­ботке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, исполнением предписаний Службы или ее терри­ториального органа. То есть в ходе документарной проверки в основном изучаются документы, находящиеся в распоряжении проверяющих.

Если же достоверность сведений, содержащихся в документах, вызы­вает обоснованные сомнения, либо эти данные не позволяют оценить ис­полнение Оператором требований, установленных нормативными право­выми актами, то проверяющие вправе направить мотивированный запрос о предоставлении необходимых для проверки документов. Оператор ПДн обязан представить необходимые документы в течение 10 рабочих дней со дня получения запроса.

В случае, если при проведении документарной проверки выявлены ошибки и (или) противоречия или несоответствия в представленных до­кументах, то Оператору может быть направлено требование о предостав­лении в течение 10 рабочих дней необходимых пояснений в письменной форме.

Если в результате проведенных мероприятий с учетом дополнитель­но представленных документов и пояснений будут выявлены признаки нарушений обязательных требований, установленных нормативными правовыми актами в области персональных данных, то должностные ор­ганы Службы или ее территориального органа вправе провести выездную проверку.

По результатам проведения проверки составляется акт проверки. Тре­бования к оформлению проверки содержатся в пункте 75 Регламента. Пунктом 83 Регламента предусмотрено, что в случае выявления наруше­ний Оператору вместе с актом выдается предписание об устранении на­рушений (п. 83 Регламента).

Каковы же возможные результаты проведения проверок?

1.              Выдача предписания об устранении выявленного нарушения и осуществление контроля за его исполнением;

2.              Выявление административного правонарушения и, соответс­твенно, составление протокола об административном правона­рушении, направление протокола с материалами проверки в суд либо в прокуратуру;

3.              Выявление уголовно наказуемого деяния и, соответственно, на­правление материалов проверки в органы прокуратуры, другие правоохранительные органы для рассмотрения вопроса о воз­буждении уголовного дела.

С целью упрощения изучения Регламента предлагаем следующую справочную информацию в отношении проведения государственного контроля органами Роскомнадзора:

 

Количественный состав участников проверки

Не менее двух должностных лиц, в том числе должностное лицо, отвечающее за вопросы правового обеспечения (п. 17)

Основание проведения проверки

Приказ руководителя Службы или руково­дителя территориального органа

Срок уведомления опе­ратора о начале проведе­ния плановой проверки

Не позднее чем в течение трех рабочих дней до начала проведения проверки (п. 23)

Срок уведомления оператора о начале проведения внеплановой проверки

Не позднее чем за 24 часа до начала ее проведения (п. 29)

Порядок предвари­тельного уведомления о начале проведения плановой проверки

Направление оператору копии приказа ру­ководителя (заместителя) службы или его территориального органа (п. 23)

Порядок предвари­тельного уведомления о начале проведения внеплановой проверки

Любым доступным способом (п. 29)

Срок проведения про­верки

20 рабочих дней (продление возможно на срок не более 20 рабочих дней) (п. 31 и п. 32)

Срок представления требуемых документов

10 рабочих дней

Срок представления пояснений

10 рабочих дней

Основные нормативные правовые акты регуляторов в сфере защиты ПДн

Таблица 3

 

п/п

Нормативные правовые акты

1

Приказ ФСТЭК, ФСБ, Мининформсвязи от 13.02.2008 № 55/86/20 «Об утверждении порядка проведения классифи­кации информационных систем персональных данных»

2

Приказ Федеральной службы по надзору в сфере массовых ком­муникаций, связи и охраны культурного наследия от 28.03.2008 № 154 «Об утверждении Положения о ведении реестра опера­торов, осуществляющих обработку персональных данных»

3

Приказ Федеральной службы по надзору в сфере связи и мас­совых коммуникаций от 17.07.2008 № 08 «Об утверждении образца формы уведомления об обработке персональных данных»4

4

«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональ­ных данных». Утверждена Заместителем директора ФСТЭК России 15.02.2008 г.5

5

«Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 14.02.2008 г.6

6

отменен

«Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обраба­тываемых в ИСПДн» Утверждены Заместителем директора ФСТЭК России от 15.02.2008 г.7

7

отменен

«Рекомендации по обеспечению безопасности персональ­ных данных при их обработке в информационных системах персональных данных». Утверждены Заместителем директора ФСТЭК России 15.02.2008 г.8

8

«Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных дан­ных с использованием средств автоматизации». Утверждены руководством 8 Центра ФСБ России 21.02.2008 №149/5-144 "

9

«Типовые требования по организации и обеспечению функ­ционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персо­нальных данных». Утверждены руководством 8 Центра ФСБ России 21.02.2008 №149/6/6-622.10

10

Приказ Мининформсвязи от 01.12.2009 № 630 «Об утверждении административного регламента проведения проверок Феде­ральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соот­ветствием обработки персональных данных требованиям законодательства РФ в области персональных данных»

11

Приказ ФСТЭК России от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в ин­формационных системах персональных данных»


ВВЕРХ