Контроль соблюдения персональных данных

Глава 5. Государственный контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона (ст.ст. 23 — 24)

Информация об изменениях:

Федеральным законом от 22 февраля 2017 г. N 16-ФЗ наименование главы 5 настоящего Федерального закона изложено в новой редакции, вступающей в силу с 1 марта 2017 г.

Глава 5. Государственный контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона

>
Уполномоченный орган по защите прав субъектов персональных данных
Содержание
Закон «О персональных данных»

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/12148567/c74d6d7c95e27021146be056ebac8f37/

Контроль и надзор за обработкой персональных данных.

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи — Роскомнадзора.

Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

Уполномоченный орган по защите прав субъектов персональных данных обязан:

Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту РФ, в Правительство РФ и Федеральное Собрание РФ, который подлежит опубликованию в СМИ.

Ответственность за нарушение положений законодательства о персональных данных.

Лица, виновные в нарушении требований законодательства РФ о персональных данных, несут уголовную, административную, гражданско-правовую и дисциплинарную ответственность.

Уголовная ответственность установлена за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ (ст. 137 УК РФ).

Должностные лица могут быть привлечены к уголовной ответственности по ст. 140 УК РФ, если неправомерно откажут гражданину в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставят гражданину неполную или заведомо ложную информацию, если эти деяния причинили вред правам и законным интересам граждан.

За неправомерный доступ к компьютерной информации также предусмотрена уголовная ответственность. Виновные лица будут наказаны по ст. 272 УК РФ, если ими будет незаконно получена информация, содержащаяся на машинном носителе, в ЭВМ, системе ЭВМ или их сети, при условии, что это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.

Административная ответственность предусмотрена за неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации (ст. 5.39 КоАП РФ).

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в соответствии со ст. 13.11 КоАП РФ.

Административная ответственность предусмотрена за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).

Статья 19.7 КоАП РФ устанавливает ответственность за непредставление или несвоевременное представление уведомления об обработке персональных данных или иной информации по запросу уполномоченного органа.

Использование операторами персональных данных несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), влечет административную ответственность в соответствии со ст. 13.12 КоАП РФ.

Статьей 13.13 КоАП РФ предусматривается ответственность за незаконную деятельность в области защиты информации. Так, занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), влечет наложение административного штрафа на граждан, должностных лиц и юридических лиц.

В рамках гражданско-правовой ответственности субъект персональных данных в судебном порядке может требовать также возмещения убытков и (или) компенсации морального вреда.

К работникам, нарушившим законодательство о персональных данных, могут применяться меры дисциплинарной ответственности. Статья 192 ТК РФ предусматривает такие виды дисциплинарных взысканий, как замечание; выговор; увольнение по соответствующим основаниям.

С работниками организации, имеющими доступ к персональным данным других работников, партнеров или клиентов организации следует заключать соглашения об обеспечении конфиденциальности данных. В случае нарушения взятых на себя обязательств работник, имеющий доступ к чужим персональным данным, может быть уволен по основаниям п. «в» ст. 81 ТК РФ за разглашение охраняемой законом тайны, в том числе разглашение персональных данных другого работника.

Читайте так же:  Досудебное урегулирование споров гражданское право

Источник: http://studme.org/78426/pravo/kontrol_nadzor_obrabotkoy_personalnyh_dannyh

Полномочия контрольно-счетной палаты по доступу к персональным данным сотрудников проверяемого учреждения

«Ревизии и проверки финансово-хозяйственной деятельности государственных (муниципальных) учреждений», 2015, N 2

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных)). Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7 Закона о персональных данных). При проведении мероприятий внешнего контроля, например при проверках, осуществляемых работниками контрольно-счетной палаты, запрашиваются документы, содержащие персональные данные работников. Вправе ли учреждение представлять такие сведения сотрудникам контрольно-счетной палаты? Поговорим об этом в статье.

Требования к обработке персональных данных

Условия обработки персональных данных установлены ст. 6 Закона о персональных данных. Пунктом 1 этой статьи определено, что обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Законом о персональных данных.

Учреждения оформляют согласие своих работников на обработку их персональных данных. Согласие субъекта персональных данных на обработку его персональных данных оформляется в письменной форме и должно включать в себя (ст. 9 Закона о персональных данных):

Без согласия работника учреждение не вправе раскрывать третьим лицам, распространять персональные данные субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7 Закона о персональных данных).

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение на граждан административного штрафа в размере от 300 до 500 руб., на должностных лиц — от 500 до 1000 руб., на юридических лиц — от 5000 до 10 000 руб. (ст. 13.11 КоАП РФ). Обычно персональные данные раскрываются при представлении проверяющим документов по заработной плате, приказов.

Конечно, если согласие на обработку персональных данных содержит разрешение на их представление проверяющим в ходе проведения проверки финансово-хозяйственной деятельности учреждения, вопросов не возникает и документы, содержащие такие сведения, беспрепятственно представляются проверяющим. Но что делать, если форма соглашения, составленная учреждением, изначально такой информации не содержала, а сейчас работники отказываются давать согласие на доступ проверяющих к их персональным данным? Предлагаем разобраться в том, имеют ли работники контрольных органов законодательно установленное право быть допущенными к работе с персональными данными сотрудников проверяемых ими учреждений.

Контроль, проводимый работниками контрольно-счетной палаты

Государственный (муниципальный) финансовый контроль осуществляется в целях обеспечения соблюдения бюджетного законодательства РФ и иных нормативных правовых актов, регулирующих бюджетные правоотношения (ст. 265 БК РФ). Такой контроль подразделяется на внешний и внутренний, предварительный и последующий.

Внешний государственный (муниципальный) финансовый контроль проводится Счетной палатой РФ, контрольно-счетными органами субъектов РФ и муниципальных образований.

Полномочия органов внешнего государственного (муниципального) финансового контроля приведены в ст. 268.1 БК РФ. К ним относятся:

  • контроль за соблюдением бюджетного законодательства РФ и иных нормативных правовых актов, регулирующих бюджетные правоотношения, в ходе исполнения бюджета;
  • контроль за достоверностью, полнотой и соответствием нормативным требованиям составления и представления бюджетной отчетности главных администраторов бюджетных средств, квартального и годового отчетов об исполнении бюджета;
  • контроль в других сферах, установленных Федеральными законами от 05.04.2013 N 41-ФЗ «О Счетной палате Российской Федерации» и от 07.02.2011 N 6-ФЗ «Об общих принципах организации и деятельности контрольно-счетных органов субъектов Российской Федерации и муниципальных образований» (далее — Федеральный закон N 6-ФЗ).

При реализации работниками контрольно-счетной палаты полномочий по внешнему государственному (муниципальному) финансовому контролю:

  • проводятся проверки, ревизии, обследования;
  • направляются объектам контроля акты, заключения, представления и (или) предписания;
  • направляются органам и должностным лицам, уполномоченным в соответствии с БК РФ, иными актами бюджетного законодательства РФ принимать решения о применении предусмотренных БК РФ бюджетных мер принуждения, уведомления о применении бюджетных мер принуждения;
  • осуществляется производство по делам об административных правонарушениях в порядке, установленном законодательством об административных правонарушениях.

Порядок осуществления полномочий органами внешнего государственного (муниципального) финансового контроля по внешнему государственному (муниципальному) финансовому контролю определяется федеральными законами, законами субъектов РФ, муниципальными правовыми актами представительных органов муниципальных образований соответственно. То есть на территории каждого субъекта РФ, муниципального образования разрабатываются соответствующие нормативные акты. Так, на территории Москвы действует Закон г. Москвы от 30.06.2010 N 30 «О Контрольно-счетной палате Москвы», на территории Санкт-Петербурга — Закон г. Санкт-Петербурга от 13.07.2011 N 455-85 «О Контрольно-счетной палате Санкт-Петербурга».

Права должностных лиц контрольно-счетной палаты

Права, обязанности и ответственность должностных лиц контрольно-счетных органов установлены ст. 14 Федерального закона N 6-ФЗ. Из положений п. 1 данной статьи следует, что должностные лица контрольно-счетных органов при осуществлении возложенных на них должностных полномочий имеют право:

Из п. 4 Разъяснений Роскомнадзора от 14.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» следует, что получения работодателем согласия на обработку персональных данных не требуется при передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами.

В частности, согласия работника не требуется при получении в рамках установленных полномочий мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством РФ.

Читайте так же:  Кто имеет право подписи уведомления о сокращении

Мотивированный запрос должен включать в себя цель запроса, ссылку на его правовые основания, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет соблюдено.

В соответствии с п. 1 ст. 10 Лимской декларации руководящих принципов контроля высший орган финансового контроля должен иметь доступ ко всем документам, относящимся к управлению финансами, и должен обладать правом запрашивать устно или письменно у проверяемой организации любую информацию, которую он посчитает нужной. Таким образом, возникает вопрос о необходимости запроса со стороны проверяющих о представлении им для выполнения контроля документов, содержащих персональные данные. Не совсем понятно, вправе ли работодатель представить для проверки документы с персональными данными сотрудников в силу норм п. п. 6 и 7 ст. 14 Федерального закона N 6-ФЗ без оформления мотивированного запроса. Предлагаем обратиться к стандартам внешнего контроля. Их устанавливает ст. 11 Федерального закона N 6-ФЗ. Из норм этой статьи следует, что контрольно-счетные органы при осуществлении внешнего государственного и муниципального финансового контроля руководствуются Конституцией РФ, законодательством РФ, законодательством субъектов РФ, муниципальными нормативными правовыми актами, а также стандартами внешнего государственного и муниципального финансового контроля.

Принята в г. Лиме 17.10.1977 — 26.10.1977 IX Конгрессом Международной организации высших органов финансового контроля (ИНТОСАИ).

Стандарты внешнего государственного и муниципального финансового контроля для проведения контрольных и экспертно-аналитических мероприятий утверждаются контрольно-счетными органами:

  1. в отношении органов государственной власти и государственных органов, органов территориальных государственных внебюджетных фондов, органов местного самоуправления и муниципальных органов, государственных и муниципальных учреждений и унитарных предприятий субъектов РФ или муниципальных образований — в соответствии с общими требованиями, утвержденными Счетной палатой РФ и (или) контрольно-счетным органом субъекта РФ;
  2. в отношении иных организаций — согласно общим требованиям, установленным федеральным законом.

Протоколом Коллегии Счетной палаты РФ от 02.04.2010 N 15к (717) утверждены стандарты проведения контрольного мероприятия СГА 101 «Общие правила проведения контрольного мероприятия». В Приложении 1 к этому документу содержится форма запроса Счетной палаты РФ о предоставлении информации. Однако четкого ответа на поставленный нами вопрос в Стандартах тоже нет. На основании этого Стандарта разрабатываются инструкции по организации и проведению контрольных и экспертно-аналитических мероприятий контрольно-счетной палаты субъекта РФ, муниципального образования. В частности, такие инструкции разработаны с целью регулирования деятельности контрольно-счетных палат Москвы, Салехарда и др. В этих инструкциях сказано, что о праве проведения контрольного мероприятия в форме проверки издается распоряжение председателя контрольно-счетной палаты, которое обычно содержит ссылку на годовой план работы контрольно-счетной палаты. В распоряжении о проведении контрольного мероприятия обозначаются:

  • полное наименование контрольного мероприятия;
  • перечень проверяемых организаций;
  • состав контрольной группы с указанием должностного лица, ответственного за проведение контрольного мероприятия;
  • срок начала проведения данного мероприятия.

На основании подписанного распоряжения на право проведения контрольного мероприятия должностным лицом, ответственным за его проведение, готовятся и представляются на подпись председателю контрольно-счетной палаты уведомление о предстоящей проверке, удостоверение на право проведения контрольного мероприятия, которое должно содержать:

  1. наименование контрольного мероприятия;
  2. ссылку на соответствующую статью закона и пункт плана работы палаты;
  3. фамилию, имя и отчество руководителя контрольного мероприятия;
  4. персональный состав рабочей группы, проводящей контрольное мероприятие в данной организации;
  5. фамилию, имя и отчество привлеченного специалиста (специалистов) и (или) независимого эксперта (экспертов);
  6. даты начала и окончания контрольного мероприятия в проверяемой организации (организациях);
  7. указание на необходимость организационного и материально-технического обеспечения для организации работы рабочей группы в проверяемой организации (организациях).

К уведомлению могут прилагаться:

  1. перечень документов, которые должностные лица проверяемой организации подготавливают для представления членам рабочей группы;
  2. список вопросов, которые необходимо рассмотреть до выхода рабочей группы на проверку в проверяемую организацию;
  3. специально разработанные для проводимого контрольного мероприятия формы, необходимые для систематизации предоставляемой информации.

Заключение

Источник: http://wiseeconomist.ru/poleznoe/101297-polnomochiya-kontrolno-schetnoj-palaty-dostupu-personalnym-dannym

Государственный надзор и контроль за обработкой персональных данных

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям российского законодательства, является Роскомнадзор, рассматривающий обращения граждан о соответствии содержания персональных данных, а также способов их обработки заявленным оператором целям и принимает соответствующие решения, направленные на изменение действий сторон этих правоотношений.

Уполномоченный орган по защите прав субъектов персональных данных имеет право:

Роскомнадзор в ходе осуществления им своей деятельности должен обеспечивать конфиденциальность персональных данных, ставших ему известными в силу выполняемых функций.

Уполномоченный орган по защите прав субъектов персональных данных обязан:

  • 1) организовывать защиту прав субъектов персональных данных;
  • 2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
  • 3) вести реестр операторов;
  • 4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
  • 5) принимать в установленном законодательством РФ порядке меры по приостановлению или прекращению обработки персональных данных. Такие меры принимаются по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации;
  • 6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных и др.
Читайте так же:  Установление срока исковой давности

Уполномоченный орган по защите прав субъектов персональных данных осуществляет сотрудничество с органами, уполномоченными по защите прав субъектов персональных данных в иностранных государствах, в частности международный обмен информацией о защите прав субъектов персональных данных, утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.

Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

Роскомнадзор ежегодно направляет отчет о своей деятельности Президенту РФ, в Правительство РФ и Федеральное Собрание РФ. Указанный отчет подлежит опубликованию в СМИ.

Источник: http://studme.org/82161/pravo/gosudarstvennyy_nadzor_kontrol_obrabotkoy_personalnyh_dannyh

Контроль соблюдения персональных данных

ДЕПАРТАМЕНТ ОХРАНЫ ЗДОРОВЬЯ НАСЕЛЕНИЯ КЕМЕРОВСКОЙ ОБЛАСТИ

от 2 июля 2013 года N 909

ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫХ ФЕДЕРАЛЬНЫМ ЗАКОНОМ ОТ 27 ИЮЛЯ 2006 ГОДА N 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» И ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ДЕПАРТАМЕНТА ОХРАНЫ ЗДОРОВЬЯ НАСЕЛЕНИЯ КЕМЕРОВСКОЙ ОБЛАСТИ

Во исполнение Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», постановления Коллегии Администрации Кемеровской области от 14.03.2007 N 68 «Об утверждении Положения о департаменте охраны здоровья населения Кемеровской области», иных нормативных правовых актов, в целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных федеральным законодательством, а также локальными актами департамента охраны здоровья населения Кемеровской области, приказываю:

1. Утвердить прилагаемые правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами и локальными актами департамента охраны здоровья населения Кемеровской области.

2. Ознакомить лиц, осуществляющих операции с использованием персональных данных в департаменте охраны здоровья населения Кемеровской области с утвержденными настоящим приказом правилами.

3. Назначить ответственного за организацию обработки персональных данных Гайворонского Д.В.

4. Контроль за исполнением приказа оставляю за собой.

И.о. начальника департамента
О.В.СЕЛЕДЦОВА

Приложение. ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ ОТ 27 ИЮЛЯ 2006 Г. N 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» И ПРИНЯТЫМИ В .

Приложение
к приказу
департамента охраны
здоровья населения
Кемеровской области
от 2 июля 2013 года N 909

ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ ОТ 27 ИЮЛЯ 2006 Г. N 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» И ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ДЕПАРТАМЕНТА ОХРАНЫ ЗДОРОВЬЯ НАСЕЛЕНИЯ КЕМЕРОВСКОЙ ОБЛАСТИ

1. Общие положения

1.1. Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами и локальными актами департамента охраны здоровья населения Кемеровской области (далее — Правила), разработаны с учетом Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 21 марта 2012 года N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

1.2. Настоящие Правила определяют порядок осуществления внутреннего контроля соответствия обработки персональных данных в департаменте охраны здоровья населения Кемеровской области (далее — ДОЗНКО) требованиям к защите персональных данных и действуют постоянно.

2. Тематика внутреннего контроля

1.3. Тематика проверок обработки персональных данных с использованием средств автоматизации.

1.3.1. Соблюдение пользователями информационных систем персональных данных ДОЗНКО парольной политики:

1.3.1.1. Правил формирования пароля;

1.3.1.2. Правил ввода пароля;

1.3.1.3. Правил хранение пароля.

1.3.2. Соблюдение пользователями информационных систем персональных данных ДОЗНКО антивирусной политики:

2.1.2.1. поддержка рабочего состояния антивирусного программного обеспечения;

2.1.2.2. своевременное обновление антивирусного программного обеспечения.

2.1.3. Соблюдение пользователями информационных систем персональных данных ДОЗНКО Правил работы со съемными носителями персональных данных:

2.1.3.1. хранение съемных носителей в персональных шкафчиках пользователей, запирающихся на ключ, расположенных в кабинетах, доступ к которым ограничен соответствующим приказом ДОЗНКО;

2.1.3.2. проверка съемного носителя на наличие вредоносных программ, перед каждым началом работы с ним;

2.1.3.3. исключение копирования с данного носителя файлов сомнительного содержания и установки нелицензионного программного обеспечения;

2.1.3.4. исключение передачи съемного носителя третьим лицам;

2.1.3.5. запрет на оставление съемного носителя включенным/выключенным без присмотра;

2.1.3.6. запрет на обработку информации, содержащейся на съемном носителе в присутствии третьих лиц;

2.1.3.7. запрет на вынос съемного носителя за пределы служебного помещения.

2.1.4. Соблюдение ответственными за криптографические средства защиты информации Правил работы с ними:

2.1.4.1. хранение криптографических средств в персональных шкафчиках пользователей, запирающихся на ключ, расположенных в кабинетах, доступ к которым ограничен соответствующим приказом ДОЗНКО;

Читайте так же:  Субсидиарная ответственность судебных расходов
Видео (кликните для воспроизведения).

2.1.4.2. исключение передачи криптографического средства третьим лицам;

2.1.4.3. запрет на оставление криптографического средства включенным/выключенным без присмотра;

2.1.4.4. запрет на вынос криптографического средства за пределы служебного помещения;

2.1.4.5. запрет на использование для электронной цифровой подписи открытых и закрытых ключей электронной цифровой подписи, если пользователю известно, что эти ключи используются или использовались ранее;

2.1.4.6. запрет на разглашение конфиденциальной информации, к которой пользователи допущены, средства ее защиты, в том числе сведения о криптографических средствах;

2.1.4.7. обязанность сообщать в орган криптографической защиты о ставших пользователям известными попытках третьих лиц получить сведения об используемых криптографических средствах;

2.1.4.8. обязанность немедленно уведомлять орган криптографической защиты о фактах утраты криптографического средства.

2.1.5. Соблюдение порядка доступа в ДОЗНКО, где расположены элементы информационных систем персональных данных:

2.1.5.1. все элементы информационных систем хранятся в индивидуальных ящиках каждого пользователя, запирающихся на ключ, расположенных в кабинетах;

2.1.5.2. соблюдение установленного соответствующим приказом ДОЗНКО ограничения в кабинеты, где используются элементы информационных систем.

2.1.6. Соблюдение порядка резервирования баз данных и хранения резервных копий:

2.1.6.1. наличие актуальных резервных копий;

2.1.6.2. поддержка рабочего состояния систем хранения резервных копий.

2.1.7. Знание пользователей информационных систем персональных данных алгоритма действий во внештатных ситуациях:

2.1.7.1. проведение анкетирования/опроса пользователя о порядке действий во внештатных ситуациях.

2.2. Тематика проверок обработки персональных данных без использования средств автоматизации.

2.2.1. Хранение бумажных носителей с персональными данными:

2.2.1.1. соблюдение хранения бумажных носителей, содержащих персональные данные, в закрываемых шкафах;

2.2.1.2. запрет передачи бумажных носителей, содержащих персональные данные, третьим лицам;

2.2.1.3. запрет выноса бумажных носителей, содержащих персональные данные, за пределы служебного помещения;

2.2.2. Доступ к бумажным носителям с персональными данными:

2.2.2.1. исключение возможности доступа к бумажным носителям, содержащим персональные данные, третьих лиц.

2.2.3. Доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными:

2.2.3.1. все бумажные носители хранятся в индивидуальных ящиках каждого пользователя, расположенных в кабинетах;

2.2.3.2. соблюдение установленного соответствующим приказом ДОЗНКО ограничения в кабинеты, где хранятся бумажные носители персональных данных.

3. Порядок проведения проверок условий обработки персональных данных

3.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям ДОЗНКО организует раза в три месяца. План проверки утверждается начальником ДОЗНКО (приложение N 1).

3.2. Проверки проводятся по необходимости в соответствии с поручением начальника ДОЗНКО.

3.3. Проверки осуществляются комиссией, образуемой приказом департамента.

3.4. Проверки осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра рабочих мест сотрудников, участвующих в процессе обработки персональных данных.

3.5. Результаты каждой проверки заносятся в протокол (приложение N 2). Протокол подписывается всеми членами комиссии.

3.6. При выявлении в ходе проверки нарушений в протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.

3.7. Протоколы хранятся у ответственного за организацию обработки персональных данных в ДОЗНКО.

3.8. Ответственный за организацию обработки персональных данных докладывает начальнику ДОЗНКО о результатах проверки и мерах, необходимых для устранения нарушений.

4. Права и обязанности комиссии при проведении проверки

4.1. При проведении проверки председатель комиссии:

4.1.1. осуществляет руководство членами комиссии, а также распределяет между ними обязанности;

4.1.2. устанавливает порядок работы комиссии при проведении проверки;

дает членам комиссии указания, обязательные для исполнения;

4.1.3. взаимодействует с должностными лицами ДОЗНКО;

4.1.4. обеспечивает сохранность и возврат полученных оригиналов документов;

4.1.5. обеспечивает соблюдение членами комиссии установленного режима работы и условий функционирования;

4.1.6. докладывает руководству ДОЗНКО о выявленных фактах грубого нарушения законодательства и иных нормативных правовых актов в сфере защиты персональных данных, а также иных обстоятельствах, требующих немедленного реагирования;

4.1.7. отстраняет от участия в работе комиссии ее членов, недобросовестно относящихся к исполнению возложенных на них обязанностей либо допускающих в процессе проверки нарушения служебной дисциплины, о чем немедленно информирует руководство ДОЗНКО;

4.1.8. отчитывается перед начальником ДОЗНКО о ходе и результатах проведения проверки, о работе членов комиссии, об итогах работы по устранению выявленных комиссией нарушений и недостатков;

4.1.9. несет персональную ответственность за качество организации, подготовки и проведения проверки, объективность и обоснованность ее результатов, выводов и предложений, за осуществление контроля по устранению выявленных комиссией нарушений и недостатков в ходе проверки.

4.2. В случае отсутствия председателя его функции и полномочия в полном объеме выполняет заместитель председателя комиссии.

4.3. В рамках проверки председатель (проверяющий), члены комиссии имеют право:

4.3.1. доступа в кабинеты, при предъявлении соответствующего приказа ДОЗНКО;

4.3.2. требовать и получать все необходимые для достижения целей проверки документы (письменные объяснения и иные материалы);

4.3.3. требовать и получать устные разъяснения по существу проверяемых вопросов;

4.3.4. наблюдать за осуществлением деятельности сотрудников ДОЗНКО, с использованием персональных данных;

4.3.5. осуществлять при необходимости анкетирование сотрудников ДОЗНКО, осуществляющих операции с использованием персональных данных;

4.3.6. выполнять иные функции, предусмотренные приказом о проведении проверки.

4.4. Члены комиссии обязаны выполнять распоряжения председателя комиссии.

4.4.1. Члены комиссии несут ответственность:

4.4.1.1. за объективность, полноту и обоснованность сделанных ими в ходе проверки выводов и предложений;

4.4.1.2. за сокрытие выявленных в ходе проверки нарушений законодательства Российской Федерации, а также иных нормативных правовых актов в сфере защиты персональных данных;

4.4.1.3. за превышение в ходе проверки полномочий, предусмотренных настоящими Правилами, а также соответствующим приказом ДОЗНКО о проведении проверки.

Читайте так же:  Срок действия доверенности на товар

Приложение N 1. План внутренних проверок условий обработки персональных данных департамента охраны здоровья населения

Приложение N 1
к Правилам осуществления
внутреннего контроля
соответствия обработки
персональных данных
требованиям к защите
персональных данных,
установленным Федеральным
законом от 27 июля 2006 г.
N 152-ФЗ «О персональных
данных» и принятыми
в соответствии с ним
нормативными правовыми
актами и локальными
актами департамента охраны
здоровья населения
Кемеровской области

План внутренних проверок условий обработки персональных данных департамента охраны здоровья населения

Нормативный документ,
предъявляющий
требования


Источник: http://docs.cntd.ru/document/430596599

Контроль соблюдения персональных данных

Что надо знать о проверках персональных данных Роскомнадзором

Собираете данные сотрудников или клиентов? Проверьте, не грозит ли вам проверка и не наработали ли вы на штраф Роскомнадзора.

  • Главная
  • Статьи
  • Что надо знать о проверках персональных данных Роскомнадзором

Что такое персональные данные

Закон от 27.07.2006 № 152-ФЗ «О персональных данных» относит к ним любую личную информацию о физическом лице. Но конкретных указаний, какие сведения нужно считать личными, он не дает.

Роскомнадзор в Методических рекомендациях, утвержденных приказом от 30.05.2017 №94 разъясняет, что к персональным данным относятся в частности:

паспортные данные: ФИО, дата и место рождения, адрес регистрации;

социальное и семейное положение;

имущество и размер дохода;

образование и профессия;

национальность, религия, политические взгляды;

биометрические данные, которые позволяют установить личность.

Но список не ограничен информацией в приказе №94. К личным данным относят и другие сведения, позволяющие идентифицировать человека. Например, номер телефона, если он принадлежит конкретному физическому лицу, заключившему договор с оператором связи.

Адрес электронной почты можно отнести к персональным данным, только если он включает в себя личную информацию, например: ФИО или дату рождения — например, адрес вида [email protected]

Все юридические и физические лица, которые собирают и обрабатывают личную информацию, называются операторами персональных данных. Их деятельность в этой области контролирует Роскомнадзор.

Как Роскомнадзор проверяет работу с персональными данными

Роскомнадзор проводит три вида проверок.

Выездные

Плановые проверки. Их график специалисты Роскомнадзора составляют до начала года. Скачайте его и можете заранее узнать, в каком месяце к вам придут контролеры — подготовитесь к проверке. Если вы не знали или забыли о такой возможности, проверяющие предупредят о визите за три дня.

В общем случае плановую проверку могут проводить не чаще, чем раз в три года. Для отдельных категорий операторов период сокращается до двух лет (пп. 6 и 7 правил, утвержденных постановлением Правительства РФ от 13.02.2019 №146). Более короткие промежутки между плановыми проверками предусмотрены, например, для тех, кто собирает биометрические данные или передает персональную информацию за границу.

Внеплановые проверки. Их в графике нет. Такие проверки обычно назначают по жалобам сотрудников, клиентов и других лиц, которые считают, что их права нарушили. Также проверку вне графика могут провести по требованию прокурора или по решению руководителя территориального органа Роскомнадзора. В этом случае вы узнаете о проверке лишь накануне — за 24 часа до ее начала.

Здесь важно помнить, что общие ограничения по частоте проверок не распространяются на контроль в области персональных данных (пп. 20 п. 3.1 ст. 1 закона от 26.12.2008 № 294-ФЗ). Проще говоря, это означает, что внеплановых проверок Роскомнадзора может быть сколько угодно, и они никак не зависят от плановых. Теоретически контролеры могут прийти к вам с новой внеочередной проверкой на следующий день после завершения обычной.

Документарные

Эти проверки проходят без выхода на предприятие. Специалисты Роскомнадзора присылают письмо, в котором просят предоставить документы или дать пояснения по направленной ранее информации. Чтобы избежать наказания, в этом случае важно соблюсти установленный срок для ответа (пять рабочих дней). Документарные проверки могут быть только плановыми.

Текущий контроль

Если документарные проверки проводят без выхода на предприятие, то текущий контроль проводят вообще без какого-либо взаимодействия с проверяемой компанией.

Специалисты Роскомнадзора анализируют имеющуюся у них информацию о бизнесе, а также изучают сайт компании и другие сведения, размещенные в открытом доступе: например, рекламу в СМИ.

В этом случае вы узнаете о проверке, только если у вас найдут нарушения. Тогда Роскомнадзор пришлет требование об устранении недостатков, а если его не выполнить — наложит штраф.

Проверьте себя: самые частые нарушения, которые выявляет Роскомнадзор

Компания не направила в Роскомнадзор уведомление об обработке персональных данных.

Одно из самых распространенных нарушений, которые выявляют контролеры. Статья 22 закона № 152-ФЗ содержит перечень случаев, когда оператор может не уведомлять контролеров о работе с личной информацией. Например, к таким исключениям относится обработка персональных данных, связанных только с трудовыми отношениями. Поэтому некоторые бизнесмены считают, что могут не уведомлять Роскомнадзор, если работают только с кадровыми данными.

Но при проверке контролеры часто приходят к выводу, что работа с личной информацией выходит за рамки трудовых отношений. Например, компания обрабатывает персональные данные не только действующих сотрудников, но и кандидатов на вакансии.

Поэтому лучше подстраховаться и в любом случае уведомить Роскомнадзор. Для этого используйте форму на сайте ведомства. Информацию также следует продублировать в бумажном виде.

Видео (кликните для воспроизведения).

Источник: http://school.bigbird.ru/articles/chto-nado-znat-o-proverkah-personalnyh-dannyh-roskomnadzorom/

Контроль соблюдения персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here