Надзор в сфере персональных данных

Информационная поддержка по вопросу: "Надзор в сфере персональных данных" описанное с профессиональной точки зрения. Мы постарались полностью осветить тематику. Если возникли дополнительные вопросы, то обращайтесь к дежурному специалисту.

Надзор в сфере персональных данных

Надзор и контроль в сфере обработки персональных данных

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций информирует Вас, что 27 января 2007 года вступил в силу Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ИНН, паспортные данные, данные военного билета, страхового свидетельства, медицинского полиса и т.п.).
На территории Краснодарского края и Республики Адыгея Уполномоченным органом по защите прав субъектов персональных данных является Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Южному федеральному округу
В соответствии с требованиями пункта 2 статьи 3 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» Оператор — это государственный орган, муниципальный орган, юридическое и физическое лицо, организующие и (или) осуществляющие обработку персональных данных (т.е. имеющие персональный ИНН/КПП, ОГРН или ОГРНИП — для индивидуальных предпринимателей).
В соответствии со ст.22 и п.4 ст. 25 Федерального закона лица, осуществляющие обработку персональных данных, обязаны подать соответствующие уведомления в Управление Роскомнадзора по Южному федеральному округу в письменной форме. Согласно ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа в размере от 15 000 до 300 000 рублей.
Справки, формы уведомления и консультации по его заполнению можно получить по адресу: г. Краснодар, ул. Маяковского, д. 158, каб. 43., телефон (861) 991-24-43, доб. 268, 261, 266.

Электронные формы заявлений

Для подачи уведомления об обработке (о намерении осуществлять обработку) персональных данных заполните электронную форму.

КОНСУЛЬТАЦИЯ ЮРИСТА


УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

8 800 350 84 37

После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных и отправки ее в информационную систему Уполномоченного органа по защите прав субъектов персональных данных, Вам необходимо распечатать заполненную форму, после чего ее подписать и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора.

© 2009-2020, Версия 2.15.18

Официальный интернет-ресурс Федеральной службы по надзору

в сфере связи, информационных технологий и массовых коммуникаций

Источник: http://23.rkn.gov.ru/directions/control_pd/

Надзор в сфере персональных данных

В соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 года № 228, уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и массовых коммуникаций (Роскомнадзор).

Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Согласно ч. 4 ст. 25 указанного Федерального закона операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года. Руководствуясь положениям ч. 3 ст. 22 Федерального закона «О персональных данных» Роскомнадзором разработана форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень обязательных полей, установленных для заполнения, а также Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения.

Заполненные уведомления должны быть направлены в письменной форме и подписаны уполномоченным лицом или направлены в электронной форме и подписаны электронной цифровой подписью в соответствии с законодательством Российской Федерации в территориальные управления Роскомнадзор, на подведомственной территории которых оператор осуществляет (будет осуществлять) обработку персональных данных.

Оцените содержание раздела:

Низкое Ниже среднего Среднее Выше среднего Высокое Оценить

Время публикации: 20.08.2009 14:03
Последнее изменение: 18.03.2018 14:30

Источник: http://rkn.gov.ru/personal-data/protection-of-the-innocent/

Надзор в сфере персональных данных

Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

Оцените содержание раздела:

Низкое Ниже среднего Среднее Выше среднего Высокое Оценить

Время публикации: 20.08.2009 14:03
Последнее изменение: 16.02.2018 16:26

© 2009-2020, Версия 2.15.18

Читайте так же:  Восстановление свидетельства о рождении через суд

Официальный сайт Федеральной службы по надзору в сфере связи,

информационных технологий и массовых коммуникаций

Источник: http://rkn.gov.ru/personal-data/

Реестр операторов, осуществляющих обработку персональных данных (Роскомнадзор)

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Согласно закону № 152-ФЗ (О персональных данных), любая организация (или физическое лицо), имеющая дело с персональными данными, обязана соблюдать правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое: самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД; определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней. Реестр операторов, осуществляющих обработку персональных данных ведет ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ (Роскомнадзор).

В реестре указывается дата и основание включение в реестр, наименование оператора и его данные, цель обработки персональных данных, правовые основания, ответственное лицо оператора и другие данные.

На портале ЗАЧЕСТНЫЙБИЗНЕС, Вы можете бесплатно получить информацию, является ли организация оператором, осуществляющим обработку персональных данных, дату включения в реестр и цель обработки.

В карточке компании, полученной при поиске по ИНН/ОГРН, содержится вся открытая официальная информация о компаниях и предпринимателях РФ, в том числе является ли Юридическое лицо или Индивидуальный предприниматель Оператором, осуществляющим обработку персональных данных.

Чтобы получить информацию введите ИНН или ОГРН организации:

Согласно ч. 2 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:

Желаем Вам плодотворной, комфортной работы на портале, используя поиск юридических лиц и ИП и получения информации о включении организации в реестр операторов, осуществляющих обработку персональных данных! Ваш ЗАЧЕСТНЫЙБИЗНЕС.РФ.

Обратная связь

По другим вопросам Вы можете связаться
с администрацией портала
ЗАЧЕСТНЫЙБИЗНЕС.РФ
из Личного кабинета

Источник: http://zachestnyibiznes.ru/lp/rkn

Государственный надзор и контроль за обработкой персональных данных

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям российского законодательства, является Роскомнадзор, рассматривающий обращения граждан о соответствии содержания персональных данных, а также способов их обработки заявленным оператором целям и принимает соответствующие решения, направленные на изменение действий сторон этих правоотношений.

Уполномоченный орган по защите прав субъектов персональных данных имеет право:

Роскомнадзор в ходе осуществления им своей деятельности должен обеспечивать конфиденциальность персональных данных, ставших ему известными в силу выполняемых функций.

Уполномоченный орган по защите прав субъектов персональных данных обязан:

  • 1) организовывать защиту прав субъектов персональных данных;
  • 2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
  • 3) вести реестр операторов;
  • 4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
  • 5) принимать в установленном законодательством РФ порядке меры по приостановлению или прекращению обработки персональных данных. Такие меры принимаются по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации;
  • 6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных и др.

Уполномоченный орган по защите прав субъектов персональных данных осуществляет сотрудничество с органами, уполномоченными по защите прав субъектов персональных данных в иностранных государствах, в частности международный обмен информацией о защите прав субъектов персональных данных, утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.

Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

Роскомнадзор ежегодно направляет отчет о своей деятельности Президенту РФ, в Правительство РФ и Федеральное Собрание РФ. Указанный отчет подлежит опубликованию в СМИ.

Источник: http://studme.org/82161/pravo/gosudarstvennyy_nadzor_kontrol_obrabotkoy_personalnyh_dannyh

Вся полезная информация о Роскомнадзоре. Регистрация в реестре операторов персональных данных

В современном мире практически каждый может владеть интересующей его информацией. Для этого достаточно воспользоваться информационными технологиями, основными обязанностями которых являются сбор, хранение и передача полученных сведений.

Для организации радиочастотных служб, осуществления контроля по защите персональных данных согласно закону «О персональных данных» и соблюдения законодательства РФ в сфере информационных технологий, связи и СМИ была создана Федеральная служба — Роскомнадзор.

Что это за служба?

О законе «О персональных данных» мы рассказывали тут.

Подведомственная Минкомсвязи России служба была создана в декабре 2008 года указом президента России от 03.12.2008 г. № 1715 и является органом исполнительной власти. Основными направлениями деятельности являются:

  1. Защита персональных данных.
  2. Надзор за соблюдением лицензионных условий и выполнением соответствующих требований в сферах информационных технологий, массовых коммуникаций, СМИ, телерадиовещания, почтовой и радиотелефонной связей.
  3. Контроль за маркировкой по возрастному критерию информационных продуктов, в целях обеспечения информационной безопасности детей.
  4. Регистрация и выдача сертификатов или лицензий на продукцию, контент или оказание услуг.
  5. Регистрация СМИ, сетей электросвязи и радиоэлектронных средств.
  6. Выдача разрешений на использование франкировальных или маркировальных машин.

Система сертификаций

В настоящее время участились случаи, когда руководители компаний или предприниматели получают уведомления, в которых организация именующая себя «Системой добровольной сертификации Росконтроль», ссылается на ФЗ № 152 и сообщает об обнаружении нарушений, предлагая помощь в их устранении.

Так вот, такие письма являются обычным предложением услуг, за определённое вознаграждение, так как данная организация органом государственной власти не является, и наименование «Росконтроль» используется для придания значимости.

Читайте так же:  Срок исковой давности безнадежных долгов

«СДС Росконтроль» — является коммерческой организацией, которая оказывает юридические услуги. А «Росконтроль» — это СМИ, которое не предоставляет и не присылает письма с предложением оказания каких-либо возмездных услуг.

Кто такие операторы ПДн и чем они занимаются?

Форма собственности и род деятельности при этом никакого значения не имеют. То есть любой, кто запрашивает персональные данные, является оператором, начиная от сайтов с заполнением личных данных и заканчивая банками и другими учреждениями.

Персональные данные (ПДн) – любая информация, которая относится к физическому лицу, при помощи которой он может быть идентифицирован.

Как проверить, есть ли на портале сведения об организации?

Для того чтобы проверить, есть ли запись в реестре операторов, осуществляющих обработку ПДн персональных данных, необходимо выполнить следующие действия:

  1. Зайти на портал персональных данных уполномоченного органа по защите прав субъектов персональных данных.
  2. Заполнить поисковую форму и указать ИНН организации.
  3. Если не знаете ИНН – произвести поиск по названию, при этом достаточно указать только оригинальную часть наименования, без спецсимволов и сокращений.
  4. Подождать результат поиска.

Для быстрого поиска лучше избегать часто встречающихся слов в названиях, таких как: «Федеральный», «Общество», «Российский» и т.п.

Кто должен быть внесен в реестр?

Если компания или физическое лицо, а также государственный или муниципальный орган, проводят сбор, хранение или обработку личной информации, и являются оператором персональных данных, то наличие регистрации в реестре Роскомнадзора является обязательным условием для их деятельности.

Физические лица и ИП также должны быть внесены в реестр. Оказывая услуги или занимаясь продажей, многие предприниматели, как правило, предлагают заполнить анкеты с личными данными для получения бонусных карт или акционных рассылок. Интернет-порталы не являются исключением, если на них существует форма подписки или обратной связи, где нужно оставить свою персональную информацию. О защите персональных данных в интернете мы рассказывали тут.

Кому можно не регистрироваться?

Согласно п. 2 ст. 22 № 152-ФЗ, существует ряд условий, при котором оператор вправе осуществлять обработку без уведомления в Роскомнадзор. Исключением когда нет необходимости о регистрации в реестре является:

  1. Публичность либо общедоступность сведений.
  2. Трудовые отношения, относится только к тем сведениям, которые необходимы при составлении трудового и коллективного договора в рамках трудового законодательства.
  3. Сбор информации, которая содержит в себе только фамилию, имя, отчество.
  4. Получение данных для однократного использования.
  5. Обработка информации только на бумажном носителе, без использования автоматизированных средств (компьютеров).
  6. Оформление организацией потребительского договора, одной из сторон которого является сам субъект ПДн, при условии, что данные будут использоваться только для выполнения условий договора, и не будут распространены широкому кругу.
  7. Приём сведений участников общественных объединений и религиозных общин, если данные не будут обнародованы без согласия в письменном виде лиц, чья информация собиралась.
  8. Получение информации организациями, которые сотрудничают с транспортным комплексом для обеспечения безопасности в транспортной сфере.

Уведомление об обработке ПДн

Одним из основных требований Роскомнадзора к операторам персональных данных, является подача уведомления о начале обработки ПДн. В данном уведомлении нужно указать следующую информацию:

  1. Полное название компании или Ф.И.О. лица, которые будут осуществлять обработку данных.
  2. Адрес регистрации оператора.
  3. Категории собираемых сведений.
  4. Категории лиц, сведения о которых обрабатываются.
  5. С какой целью осуществляется получение информации.
  6. Правовое основание.
  7. Перечень мер защиты, которые будут использоваться при обработке полученных сведений, предусмотренных статьями 18.1 и 19 Закона № 152-ФЗ.
  8. Дата начала деятельности оператора.
  9. Сроки или условия прекращения обработки данных.
  10. Сведения о трансграничной передаче информации в процессе обработки.
  11. Данные о точном месте нахождения базы (страна, адрес).

Во время проверки Роскомнадзор производит проверку соответствия по каждому вышеперечисленному пункту.

О том, что нужно знать об обработке и хранении персональных данных в России, читайте тут.

Регистрация в качестве оператора

Для этого необходимо:

  1. Зайти на официальный сайт Роскомнадзора и в меню выбрать вкладку «Реестр операторов».
  2. Затем перейти на «Электронные формы заявлений» и выбрать «Перейти к заполнению формы электронного уведомления».
  3. При заполнении заявления необходимо указывать полные достоверные данные, которые точно соответствуют предоставленными локальными актами. В противном случае, если сведения будут не полными или недостоверными, служащие Роскомнадзора оставляют за собой право не вносить данные в реестр до подтверждения или уточнения представленной информации.
  4. После заполнения электронной формы заявление распечатывают, ставят печать и подпись ответственного лица, направляют в территориальный орган Роскомнадзора в двух экземплярах – на бумажном носителе и в электронном виде.

Регистрация оператора происходит в течение 30 дней с момента подачи уведомления.

Роскомнадзор рекомендует перед подачей уведомления провести аудит соответствия обработки персональных данных, во избежание недостоверности подаваемых сведений.

Обязанности

Как говорилось выше, при обработке персональных данных оператор должен уведомить об этом компетентный орган. Но помимо этого у него ещё есть ряд обязательств, которые он должен соблюдать:

  1. Издать приказ о назначении ответственного лица или группы лиц за обработку ПДн, а также осуществлять контроль или проводить аудит обработки данных в редакции.
  2. Разработать и принять меры для обеспечения конфиденциальности и безопасности полученной информации. Сюда можно отнести установку антивирусных программ и информирование сотрудников об административной и уголовной ответственности в случае разглашения третьим лицам.
  3. Прекратить обработку данных, если цель сбора достигнута или субъект отозвал своё разрешение на обработку.
  4. Соблюдать локализацию и предоставлять данные о месте расположения базы, указывая страну и фактический адрес.
  5. Информировать о сборе ПДн потенциальных и/или действующих клиентов и сотрудников, разъясняя для чего и какая информация обрабатывается, а также о сроках хранения. Для этого создать и опубликовать для общего доступа форму согласия на обработку данных и политику конфиденциальности.
  6. Удалить информацию, если будет доказано, что личные данные были получены незаконно или не являются обязательными для достижения заявленной цели, и лицо, чьи сведения использовались, потребует о её извлечении из базы.
Читайте так же:  План работы по защите прав несовершеннолетних

Как убрать сведения о компании?

Существуют ситуации, когда возникает необходимость удаления сведений об организации из реестра Роскомнадзора. Это:

  • реорганизация компании, а в следствии и прекращение деятельности Оператора;
  • полная ликвидация Оператора;
  • анулирование лицензии;
  • вступившее в силу решение суда о запрете и наступлении срока или условия о прекращении деятельности, согласно указанным данным в уведомлении, которое подавалось в Роскомнадзор.
Видео (кликните для воспроизведения).

В этом случае оператор самостоятельно направляет заявление в уполномоченный территориальный орган, приложив документы, подтверждающие исключение. Срок рассмотрения заявления исчисляется с момента регистрации в Роскомнадзоре. По истечении 30 дней данные об организации удаляются из реестра.

Ответственность за отказ

В случае отказа регистрироваться в реестре предусмотрена административная ответственность в виде предупреждения или штрафа. За данное правонарушение, согласно ст. 19.7 КоАП РФ:

  • физическое лицо может быть оштрафовано на сумму от 100 до 300 рублей;
  • должностное — от 300 до 500 рублей;
  • юридическое — от 3000 до 5000 рублей.

Деятельность всех операторов персональных данных регулируется законодательными актами, и любое нарушение наказывается уголовной или административной ответственностью.

Но всё же прежде чем давать согласие на обработку личных данных, не мешало бы убедиться, что организация действительно зарегистрирована в качестве оператора, а соответственно соблюдает все меры безопасности в хранении информации. О том, всегда ли нужно согласие на обработку персональных данных, как отозвать, узнайте здесь.

Роскомнадзор осуществляет контроль за соблюдением всех правовых актов, касающихся обращения с личной информацией граждан и оперативно реагирует на противоправную деятельность.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник: http://pravovoi.center/zpp/o-personalnyh-dannyh/roskomnadzor-reestr-operatorov.html

Надзор в сфере персональных данных

Что такое персональные данные?

Персональные данные — это любая информация, относящаяся к человеку. К персональным данным относятся ФИО, дата рождения, адрес, семейное положение, образование, профессия, пол, гражданство, сведения о документе, удостоверяющем личность, электронная почта, номер банковской карты. Часто операторы, обрабатывающие персональные данные, забывают включить в список данных сведения о составе семьи, о трудовом и общем стаже, о занимаемой должности, о воинском учете, национальность, ИНН и СНИЛС (это персональные данные даже без привязки к ФИО). Если ИНН указан в ЕГРЮЛ, то это общедоступная информация в части налогового законодательства, однако в иных случаях это ПД (персональные данные). Номер телефона без иной информации – это не персональные данные, так как он относится к пользовательскому устройству. Также государственный номер автомобиля не является ПД, так как относится к транспортному средству.

Индивидуальные предприниматели являются операторами ПД. В категории субъектов персональных данных могут входить не только работники, акционеры, клиенты, физлица, состоящие в гражданско-правовых отношениях, но и соискатели, уволенные работники и родственники работников/клиентов.

Обработка персональных данных

Правовыми основаниями для обработки ПД являются Трудовой кодекс РФ, Налоговый кодекс РФ, Генеральная лицензия на осуществление банковских операций, Федеральный закон №115-ФЗ, . Часто в правовых основаниях обработки забывают указать Федеральный закон № 353-ФЗ «О потребительском кредите (займе)», согласие на обработку ПД (работника, соискателя, клиента и т.д.), договоры. ФЗ «О персональных данных» не является правовым основанием!

Политика обработки ПД и локальные нормативные акты по вопросам обработки должны быть опубликованы. Политика и сведения о мерах по защите ПД размещаются на сайте, где ведётся обработка ПД, а также там могут быть размещены и пользовательское соглашение, и условия использования сервисов. Можно опубликовать общую политику на несколько сайтов, но внутри неё должна быть градация.

Для обработки персональных данных необходимо получить согласие субъекта ПД. В согласии должны быть указаны адрес или данные основного документа, удостоверяющего личность субъекта, наименование или ФИО и адрес оператора ПД, перечень ПД, на обработку которых дается согласие и способ отзыва согласия на обработку ПД. При составлении текста согласия можно использовать типовые формы на сайте РКН. Срок действия согласия может быть ограничен сроком или достижением цели.

Указание в согласии нескольких целей допустимо, в том числе на сбор файловой информации cookie (кроме биометрии, спецкатегории и трансграничной передачи на территорию неадекватных по защите ПД стран). На период принятия решения о трудоустройстве нужно получать согласие на обработку ПД от соискателя и его близких родственников, если требуется информация о них. При действии субъектов ПД в интересах третьих лиц нужно их согласие, доверенность (например, при оформлении туристического пакета).

При опубликовании фотографий и иной информации о сотрудниках на сайте нужно их согласие. Это не распространяется на учителей и работников государственных органов, но при любом превышении минимального перечня ПД из закона их согласие тоже нужно получать.

Для передачи персональных данных работников внутри российской группы компаний нужно получать их письменное согласие, а внутри международной группы компаний – письменное согласие и договор-поручение со штаб-квартирой. Одно согласие работника с указанием каждого контрагента даётся для одной цели обработки ПД.

При передаче ПД работников третьи лица, привлекаемые по договору поручения, могут объединены в одно согласие (если цель обработки ПД единая). Третьи лица, привлекаемые по договору поручения, подают уведомления об обработке ПД, кроме ч. 2 ст. 22 ФЗ «О ПД». У оператора нет обязанности предоставлять третьему лицу, привлекаемому по договору поручения, сведения о правовых основаниях обработки ПД.

Читайте так же:  Суд оставляет заявление без рассмотрения в случаях

После достижения целей обработки персональных данных необходимо их уничтожить и оформить акт об уничтожении. Частым нарушением этого требования является обработка ПД соискателей после принятия решения об отказе в устройстве на работу (при отсутствии внешнего кадрового резерва, кроме гос. служащих) и обработка ПД в информационной системе персональных данных по истечении сроков, указанных в законе. Порядок уничтожения ПД должен быть указан в локальных актах.

Необходимо предоставлять в Роскомнадзор уведомления об обработке ПД. В уведомлении указывается только одно ответственное лицо и даются его почта и телефон. Если контактные данные меняются, об этом нужно обязательно уведомить РКН.

Если иностранное юридическое лицо имеет представительство на территории РФ, то можно подать уведомление, а если нет, то уведомление подавать не нужно. Однако требования о локализации такая организация обязана выполнить (базы данных по обработке ПД должны находиться на территории РФ). Кроме того, раз в два года проводятся проверки в отношении таких иностранных компаний.

Чтобы не было нарушений в виде предоставления неполных или недостоверных сведений, рекомендуется проводить внутри организации аудит деятельности оператора по обработке ПД и следить, чтобы ответственное за заполнение уведомления отраслевое подразделение отражало информацию не только о своей деятельности (кадры, бухгалтерия). В организации должны быть планы или материалы проверочных мероприятий, подтверждающие внутренний контроль/аудит ПД (акты, протоколы, докладные записки).

Популярное нарушение — неполный перечень целей обработки ПД. Например, в целях обработки персональных данных часто забывают указать организацию пропускного режима и подбор персонала.

Понятие “база данных” трактуется сотрудниками РКН по внутреннему убеждению, например, любая таблица в Word – это тоже база данных.
Адреса всех баз персональных данных обязательно должны быть указаны в формате 123456, Москва г., ул. ___, д. ___, стр. ___, в том числе базы данных сайта и информационной системы персональных данных оператора. Также необходимо помнить, что база ПД – это не только информационные системы (сервер, центр обработки данных), но и места, где находятся материальные носители (жёсткие диски, картотеки).

При использовании для хранения облачной инфраструктуры требуется договор-поручение с провайдером. Облачная инфраструктура обеспечивает доступ, а эти действия означают обработку, даже не имея самого доступа к ПД.

После прекращения обработки персональных данных или при изменении информации, содержащейся в уведомлении, необходимо предоставить сведения об этом в Роскомнадзор в течение 10 дней.

Согласно ФЗ №152 “О персональных данных”, в организации должно быть лицо, ответственное за организацию обработки ПД. Нарушением является назначение на эту должность нескольких лиц или отсутствие данного полномочия в должностном регламенте. Можно указать полномочия ответственного лица в трудовом договоре или в приказе о назначении лица и наделении полномочиями, но лучше сделать это отдельно в должностной инструкции.

Работников оператора, непосредственно осуществляющие обработку ПД, обязаны быть ознакомлены с положениями законодательства РФ. Для подтверждения этого формируется лист ознакомления работников с положениями законодательства РФ, соответствующие положения включаются в трудовой договор с работником, проводятся курсы для работников (с получением документов) и внутренние обучающие мероприятия. Ознакомление работников с законодательством в электронном виде не в полной мере отвечает требованиям ст. 86 ТК РФ.
Также должен быть утверждён перечень лиц, осуществляющих обработку ПД, либо имеющих к ним доступ.

Составы правонарушений ст. 13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных)

Источник: http://digitalrights.center/blog/roskomnadzor-personalnye-dannye/

Инспекционная проверка по персональным данным: что требует Роскомнадзор?

  1. Как проходит проверка Роскомнадзора
  2. Что требует проверяющий
  3. Как работодателю подготовиться к проверке Роскомнадзора
  4. Какая ответственность за нарушение обработки персональных данных работников введена с 01.07.2017
  5. Где получить дополнительную информацию о проведении проверок Роскомнадзора

1. Как проходит проверка Роскомнадзора

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) осуществляет функции по контролю и надзору за соответствием обработки персональных данных (далее – ПД) требованиям законодательства РФ.

Процедура принятия решения о проведении проверок представлена в Блок-схеме 1:

Процедура проверки зависит от ее вида и формы.

Согласно Федеральному закону N 294-ФЗ от 26.12.2008 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (далее – Закон 294-ФЗ) проверки бывают плановые и внеплановые.

И те, и другие могут проходить в форме выездной и документарной проверки.

Особенности проведения разных видов и форм проверок приведены в таблице 1:

В Административном регламенте исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки ПД требованиям законодательства РФ в области персональных данных, утв. Приказом от 14.11.2011 № 312 (далее – Административный регламент №312) приведен перечень нормативных правовых актов, регулирующих процедуру проверки.

Кроме того, в нем перечислены права и обязанности должностных лиц Роскомнадзора при осуществлении проверок (пп. 6-7 Административного регламента №312) и права и обязанности работодателей, в отношении которых проводится проверка (пп. 8-9 Административного регламента №312).

Процедура проведения проверок представлена в Блок-схеме 2:

Сроки проведения проверок приведены в таблице 2 (пп. 20-21 Административного регламента №312):

При необходимости продления срока проверки проводящие проверку должностные лица не позднее чем за два дня до даты окончания проверки готовят докладную записку с изложением причин продления срока и направляют ее руководителю Роскомнадзора или руководителю территориального органа, принявшему решение о проведении проверки.

Читайте так же:  Обжаловать постановление комиссии по делам несовершеннолетних

Варианты завершения проверки:

  • составление и вручение работодателю акта проверки
  • выдача работодателю предписаний об устранении выявленных нарушений требований законодательства РФ в области персональных данных
  • составление протоколов об административных правонарушениях в отношении работодателя
  • подготовка и направление материалов проверки в органы прокуратуры, другие правоохранительные органы для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам преступлений, связанных с нарушением прав персональных данных работников

Процедуры оформления результатов и принятия мер по результатам проверок представлены в Блок-схеме 3 (п. 10 Административного регламента №312):

2. Что требует проверяющий

Административным регламентом №312 определена последовательность действий (административных процедур) Роскомнадзора и его территориальных органов.

В частности, предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных являются (п. 5 Административного регламента №312):

  • документы, характер информации в которых предполагает или допускает включение в них персональных данных (напр., личные дела работников)
  • информационные системы персональных данных (напр., правила ведения электронного документооборота в программе 1С)
  • деятельность по обработке персональных данных (напр., локальный нормативный акт о защите ПДР, согласие на обработку персональных данных и др.)

Общий перечень документов, подлежащих проверке, законодательно не определен.

Приведем примерный список документов:

  • Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав и др.)
  • Список ПД, обрабатываемых работодателем
  • Список работников, имеющих доступ к ПД, приказ об их допуске
  • Инструкции работников, которые в ходе своей трудовой деятельности обрабатывают ПД и обеспечивают информационную защиту
  • Положение об ответственности работников за разглашение ПД и нарушение запрета доступа к ним
  • Локальный нормативный акт о защите ПД
  • Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности)
  • Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи работников по требованиям информационной безопасности)
  • Соглашения о неразглашении ПД с подписями работников
  • Бланки согласия работников на обработку их ПД
  • Журналы инструктажей работников по вопросам информационной безопасности и других внутренних контрольных мероприятий режима защиты
  • Журналы учета всех носителей информации, а также средств защиты информационных систем

Конкретный перечень документов должен быть приведен в приказе руководителя.

3. Как работодателю подготовиться к проверке Роскомнадзора

Несколько практических рекомендаций по подготовке к проверке Роскомнадзора:

  1. Назначить работника, ответственного за обработку ПД
  2. Разработать и утвердить локальный нормативный акт о защите ПД
  3. Ознакомьте всех работников с документами по работе с ПД.
  4. Ежегодно проверять график проведения плановых проверок на официальном сайте Роскомнадзора
  5. Привести в порядок все документы, регламентирующие работу с ПД, обращая внимание на условия информации и хранения документов (напр., материально-техническое оснащение помещений: замки на дверях, наличие сейфов для документов и пр.)
  6. Постоянно отслеживать изменения в законодательстве РФ по ПД
  7. Регулярно проводить внутренний аудит документов, содержащих ПД
  8. Установить алгоритм поведения с проверяющими (они должны получать информацию у представителя ЮЛ или ИП)

Для разработки документа, определяющего политику оператора в отношении обработки ПД советуем воспользоваться рекомендациями по его составлению, которые размещены на официальном сайте Роскомнадзора: https://rkn.gov.ru/personal-data/p908/

В частности, в Политику по защите ПД рекомендуется включить следующие структурные компоненты:

  1. Общие положения
  2. Цели сбора персональных данных
  3. Правовые основания обработки персональных данных
  4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
  5. Порядок и условия обработки персональных данных
  6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Также приводим пример формы согласия на обработку ПД:

Поведение работодателя (оператора ПД) во время проверки:

  1. Ознакомиться с документами, относящимися к проверке, с положениями и регламентом
  2. При необходимости пригласить юриста, что поможет не упустить из виду важные нюансы в переговорах и оформлении документов
  3. Тщательно проверять документы, прежде чем передать их инспектору (по возможности со всех документов снять копии)
  4. Инспекторы имеют права изымать только документы, имеющие отношение к предмету проверки
  5. Перед передачей инспектору документов внимательно проверить их (оператору ПД дается время для обработки запроса)
  6. Помнить, что оператор ПД имеет право обжаловать результаты проверки в суд

4. Какая ответственность за нарушение обработки персональных данных работников введена с 01.07.2017

С 01.07.2017 вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

Данный закон установил семь новых составов административных правонарушений при обработке ПД, затрагивающих основной круг распространенных правонарушений в области ПД.

Полная информация об ответственности за нарушение правил обработки ПД приведена в таблице 3:

5. Где получить дополнительную информацию о проведении проверок Роскомнадзора

Информация о порядке проведения проверок предоставляется (п. 11 Административного регламента №312):

  • посредством размещения на официальном сайте Роскомнадзора и его территориальных органов в информационно-телекоммуникационной сети «Интернет» (п. 15 Административного регламента №312)
  • непосредственно в центральном аппарате Службы и ее территориальных органах.

Место нахождения центрального аппарата Роскомнадзора: 109074, Москва, Китайгородский проезд, д. 7, стр. 2.

Почтовый адрес для направления обращений: 109074, Москва, Китайгородский проезд, д. 7, стр. 2.

Официальный сайт: https://rkn.gov.ru/ и www.роскомнадзор.рф

График работы Роскомнадзора и его территориальных органов: понедельник — четверг 9.00 — 18.00; пятница 9.00 — 16.45 (в предпраздничные дни продолжительность времени работы сокращается на 1 час).

Часы приема корреспонденции в экспедиции Роскомнадзора: понедельник — пятница 10.00 — 13.00, 14.00 — 16.00.

Видео (кликните для воспроизведения).

Источник: http://www.specialist.ru/news/4975/inspekcionnaya-proverka-po-personaljnim-dannim-chto-trebuet-roskomnadzor

Надзор в сфере персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here