Законодательная база Российской Федерации

ПИСЬМО Рособразования от 22.10.2009 N 17-187 "ОБ ОБЕСПЕЧЕНИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ"

Роскомнадзор, ФСТЭК России и ФСБ России в рамках своей компетенции осуществляют плановые и внеплановые проверки законности обработки персональных данных. Это предусмотрено регламентом проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (www.rsoc.ru/.cmsc/upload/documents/20090828191123gJ.doc)

Проверка осуществляется в отношении Операторов - государственных органов, муниципальных органов, юридических или физических лиц, организующих и (или) осуществляющих обработку персональных данных, а также определяющих цели и содержание обработки персональных данных.

Проверка соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных завершается:

- составлением и вручением Оператору акта проверки;

- выдачей Оператору предписания об устранении выявленных нарушений требований законодательства Российской Федерации в области персональных данных;

- составлением протокола об административном правонарушении в отношении Оператора;

- подготовкой и направлением материалов проверки в органы прокуратуры, другие правоохранительные органы для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам правонарушений (преступлений), связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.

О проведении плановой проверки Оператор уведомляется не позднее, чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа руководителя, заместителя руководителя Роскомнадзора или ее территориального органа с уведомлением о вручении или иным доступным способом.

Внеплановые проверки проводятся по следующим основаниям:

- истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных;

- поступление в Роскомнадзор или его территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:

- возникновение угрозы причинения вреда жизни, здоровью граждан;

- причинение вреда жизни, здоровью граждан;

- нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных;

- нарушение Операторами требований настоящего Федерального закона и иных нормативных правовых актов в области персональных данных, а также о несоответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.

О проведении внеплановой выездной проверки Оператор уведомляется Роскомнадзором или ее территориальным органом не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом.

Должностные лица Роскомнадзора или его территориального органа, в качестве приглашенных специалистов, могут принимать участие в проверках ФСБ России, ФСТЭК России, правоохранительных органов и органов прокуратуры.

В ходе проведения проверки Роскомнадзор или его территориальный орган осуществляют следующие мероприятия по контролю:

а) рассмотрение документов Оператора, включающих сведения:

- содержащиеся в уведомлении об обработке персональных данных, поступивших от Оператора и фактической деятельности Оператора;

- о фактах, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Роскомнадзор или его территориальный орган;

- о выполнении Оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных. Данная проверка проводится в виде внеплановой проверки;

- о наличии у Оператора письменного согласия субъекта персональных данных на обработку его персональных данных;

- о соблюдении требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных;

- о порядке и условиях трансграничной передачи персональных данных;

- о порядке обработки персональных данных, осуществляемой без использования средств автоматизации;

- о соблюдении требований конфиденциальности при обработке персональных данных;

- о фактах уничтожения Оператором персональных данных субъектов персональных данных по достижении цели обработки;

- локальные акты Оператора, регламентирующие порядок и условия обработки персональных данных;

- об иной деятельности, связанной с обработкой персональных данных;

б) исследование (обследование) информационной системы персональных данных, в части касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.

Должностные лица Роскомнадзора или его территориального органа при проведении проверок вправе в пределах своей компетенции:

- выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных;

- составлять протоколы об административном правонарушении или направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях, а также о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подследственностью;

- обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

- использовать необходимую технику и оборудование, принадлежащие Роскомнадзору или его территориальному органу;

- запрашивать и получать необходимые документы (сведения) для достижения целей проведения мероприятия по контролю (надзору);

- получать доступ к информационным системам персональных данных;

- направлять заявление в орган, осуществляющий лицензирование деятельности Оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации в области персональных данных;

- требовать от Оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.

Примерный перечень запрашиваемых документов:

учредительные документы Оператора;

копия уведомления об обработке персональных данных;

положение о порядке обработки персональных данных;

положение о подразделении, осуществляющем функции по организации защиты персональных данных;

должностные регламенты лиц, имеющих доступ и (или) осуществляющих обработку персональных данных;

план мероприятий по защите персональных данных;

план внутренних проверок состояния защиты персональных данных;

приказ о назначении ответственных лиц по работе с персональными данными;

типовые формы документов, предполагающие или допускающие содержание персональных данных;

журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях;

договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных;

выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения проверки;

приказы об утверждении мест хранения материальных носителей персональных данных;

письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма);

распечатки электронных шаблонов полей, содержащие персональные данные;

справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;

заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только наличие данных документов);

приказ о создании комиссии и акты проведения классификации информационных систем персональных данных (проверяется только наличие данных документов);

журналы (книги) учета обращений граждан (субъектов персональных данных);

акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);

иные документы, отражающие исполнение Оператором требований законодательства Российской Федерации в области персональных данных.

Акт по результатам проверки может содержать одно из следующих заключений:

- об отсутствии нарушений требований законодательства Российской Федерации в области персональных данных;

- о выявленных нарушениях требований законодательства Российской Федерации в области персональных данных, с указанием конкретных статей и (или) пунктов нормативных правовых актов.

Наличие и соблюдение персоналом требуемых распорядительных документов и инструкций является необходимым условием обеспечения информационной безопасности персональных данных.