Провести проверку перональных данных

Введение В марте 2017 года мы писали о том, какие Новые штрафы за нарушения законодательства о персональных данных появились в России. Помимо самих штрафов, изменения коснулись и порядка возбуждения дел об административных правонарушениях. Так как любая организация обрабатывает персональные данные хотя бы своих работников , эти изменения повлияют на практику работы с такой информацией. В этой статье мы систематизируем информацию о проверках в сфере персональных данных, обсудим основные моменты полномочий государственных органов, осуществляющих контроль и надзор в этой сфере, и обратим внимание на действия организаций, которые могут привести к внеплановым контрольным мероприятиям.

Судьи с этим не согласились. В соответствии со ст. На основании ст. Данная статья является специальной по отношению к общей ст.

РКН начинает проверку работодателей по защите персональных данных. Как подготовиться

Плановые проверки проводятся на основании ежегодного плана деятельности Управления далее - План деятельности , размещаемого на текущий календарный год. Государственный контроль и надзор включает в себя деятельность органа по контролю и надзору, направленную на предупреждение, выявление и пресечение нарушения операторами персональных данных далее - операторы требований Федерального закона "О персональных данных" и принятых в соответствии с ним нормативных правовых актов посредством: а организации и проведения плановых и внеплановых проверок; б принятия мер по пресечению и или устранению последствий выявленных нарушений; в проведения мероприятий по контролю без взаимодействия с операторами; г проведения мероприятий по профилактике нарушений.

Основанием для включения плановой проверки в отношении оператора в План деятельности является истечение 3 лет со дня: государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя; окончания последней плановой проверки оператора.

Организация и проведение плановых и внеплановых проверок Плановая проверка в отношении оператора включается в План деятельности и проводится с периодичностью не чаще одного раза в 2 года со дня окончания его последней плановой проверки в следующих случаях: оператор осуществляет обработку персональных данных в информационных системах персональных данных, имеющих в соответствии с федеральными законами статус государственных информационных систем; оператор осуществляет сбор биометрических и специальных категорий персональных данных; оператор осуществляет трансграничную передачу персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных; оператор осуществляет обработку персональных данных по поручению иностранного государственного органа, иностранного юридического лица, иностранного физического лица, которые не зарегистрированы в установленном порядке на территории Российской Федерации.

Внеплановые проверки проводятся на основании приказа органа по контролю и надзору, изданного: в случае неисполнения или частичного исполнения оператором предписания об устранении выявленного нарушения, выданного органом по контролю и надзору; по результатам рассмотрения обращений граждан, поступивших в орган по контролю и надзору, при условии наличия в обращении материалов, подтверждающих факт нарушения их прав, определенных статьями 14 - 17 Федерального закона "О персональных данных", действиями бездействием оператора при обработке их персональных данных; в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации; на основании требования прокурора об осуществлении внеплановой проверки; на основании решения руководителя органа по контролю и надзору по итогам рассмотрения докладной записки, содержащей выводы о наличии нарушений требований, выявленных по результатам проведения мероприятий по контролю без взаимодействия с оператором.

Проверки проводятся органом по контролю и надзору на основании приказа, изданного уполномоченным должностным лицом, в форме документарной или выездной проверки. Проверка проводится в отношении: деятельности оператора по обработке персональных данных, осуществляемой с использованием и или без использования средств автоматизации, на предмет ее соответствия требованиям, в том числе мер, принимаемых оператором во исполнение требований; документов и локальных актов оператора, указанных в части 1 статьи 18.

Срок проведения плановой проверки не может превышать 20 рабочих дней. Срок проведения плановой проверки может быть продлен однократно не более чем на 20 рабочих дней.

Срок проведения внеплановой проверки не может превышать 10 рабочих дней. Срок проведения внеплановой проверки может быть продлен однократно не более чем на 10 рабочих дней. Основанием для продления срока проведения проверки является: а получение в ходе проведения проверки от правоохранительных органов, в том числе органов прокуратуры, либо из иных источников документов, свидетельствующих о нарушении оператором требований; б возникновение обстоятельств непреодолимой силы затопление, наводнение, пожар и тому подобное на территории, где проводится проверка; в непредставление оператором в ходе проведения проверки необходимых документов; г выявление в ходе проведения проверки обстоятельств, связанных с большим объемом проверяемых и анализируемых документов, количеством осуществляемых видов деятельности по обработке персональных данных, разветвленностью организационно-хозяйственной структуры оператора, сложностью технологических процессов обработки персональных данных.

Решение о продлении срока проведения проверки оформляется приказом органа по контролю и надзору с указанием оснований продления срока проведения проверки. Документарная проверка осуществляется должностными лицами Управления в рамках проведения плановой проверки посредством анализа документов и информации, полученных от оператора по письменному запросу органа по контролю и надзору далее - запрос.

Запрос направляется оператору органом по контролю и надзору любым доступным способом. Внеплановые документарные проверки не проводятся. Направленные оператору в соответствии с Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации" запросы о получении информации по существу вопросов, указанных в обращениях граждан и иных лиц, поступивших в орган по контролю и надзору, не являются документарной проверкой.

Оператор обязан представить в орган по контролю и надзору документы и информацию, необходимые для проведения документарной проверки, в течение 5 рабочих дней со дня получения запроса. Указанные документы представляются в виде копий, заверенных печатью при ее наличии и подписью руководителя оператора или иного уполномоченного представителя оператора. Оператор вправе представить документы и информацию в форме электронных документов, подписанных усиленной квалифицированной электронной подписью, в том числе путем их направления с использованием сети "Интернет".

Датой представления оператором в орган по контролю и надзору запрошенных документов и информации считается дата, указанная в отметке органа по контролю и надзору об их принятии. Документарная проверка проводится по месту нахождения органа по контролю и надзору. В случае если в ходе документарной проверки выявлены ошибки и или противоречия в представленных оператором документах и информации либо несоответствие сведений, содержащихся в этих документах и информации, сведениям, содержащимся в имеющихся у органа по контролю и надзору документах, информация об этом направляется оператору любым доступным способом с требованием представить в течение 3 рабочих дней необходимые пояснения в письменной форме или в форме электронного документа.

В случае непредставления оператором документов и пояснений в установленные сроки орган по контролю и надзору издает приказ о проведении выездной проверки. Выездная проверка проводится по месту нахождения оператора и или по месту фактического осуществления им деятельности по обработке персональных данных. Выездная проверка оператора - физического лица, не являющегося индивидуальным предпринимателем, не проводится.

Выездная проверка начинается с предъявления служебного удостоверения должностными лицами, ознакомления руководителя оператора или иного уполномоченного представителя оператора с приказом о назначении выездной проверки и с полномочиями должностных лиц, проводящих проверку, а также с целями, задачами, основаниями проведения выездной проверки, видами и объемом мероприятий по контролю, сроками и условиями проведения выездной проверки.

До начала проведения выездной проверки должностные лица вручают руководителю оператора или иному уполномоченному представителю оператора письменный запрос о представлении документов и информации, необходимых для проведения проверки. Оператор обязан представить должностным лицам, уполномоченным на проведение выездной проверки, необходимые для проведения проверки документы и информацию в срок, указанный в запросе, предусмотренном пунктом 33 настоящих Правил.

Такой срок не может составлять менее 2 рабочих дней со дня вручения указанного запроса. Оператор создает необходимые условия для проведения выездной проверки, по требованию должностных лиц обеспечивает доступ в помещения и к оборудованию, посредством которого осуществляется обработка персональных данных, и представляет информацию и документацию, необходимые для проведения выездной проверки. В случае если в ходе проведения выездной проверки представленные оператором документы и информация недостаточны для проведения выездной проверки, должностные лица вручают руководителю оператора или иному уполномоченному представителю оператора дополнение к указанному запросу.

Документы представляются в виде копий, заверенных печатью при ее наличии и подписью руководителя оператора или иного уполномоченного представителя оператора. Документы и информация могут быть представлены в форме электронных документов, подписанных усиленной квалифицированной электронной подписью руководителя оператора или иного уполномоченного представителя оператора.

В случае если документы и информация не могут быть представлены в срок, установленный в запросе, , либо отсутствуют, руководитель оператора или иной уполномоченный представитель оператора должен до истечения этого срока представить должностным лицам, проводящим выездную проверку, письменное мотивированное объяснение о причинах невозможности представления документов и информации.

В случае осуществления оператором действий бездействия , препятствующих проведению выездной проверки, составляется акт о воспрепятствовании проведению выездной проверки. Акт о воспрепятствовании проведению выездной проверки подписывается должностными лицами, указанными в приказе о ее проведении. При воспрепятствовании оператором проведению выездной проверки орган по контролю и надзору вправе обратиться в правоохранительные органы, в том числе в органы прокуратуры, за содействием в предотвращении или пресечении действий, препятствующих осуществлению государственного контроля и надзора.

В случае воспрепятствования проведению выездной проверки, невозможности проведения проверки ввиду отсутствия оператора руководителя оператора или иного уполномоченного представителя оператора по месту его нахождения и или по месту фактического осуществления им деятельности руководителем органа по контролю и надзору уполномоченным заместителем руководителя принимается решение о приостановлении проведения проверки на срок не более одного месяца.

Период действия срока приостановления проведения проверки не включается в срок проведения выездной проверки. Решение о возобновлении проведения выездной проверки принимается руководителем органа по контролю и надзору уполномоченным заместителем руководителя после устранения причин приостановления проведения выездной проверки.

В случае неустранения причин приостановления проведения выездной проверки должностным лицом органа по контролю и надзору, проводящим выездную проверку, составляется акт о невозможности проведения соответствующей проверки с указанием причин невозможности ее проведения.

В этом случае орган по контролю и надзору в течение 3 месяцев со дня составления акта о невозможности проведения выездной проверки вправе принять решение о проведении в отношении оператора плановой или внеплановой выездной проверки без внесения плановой проверки в план по контролю и без предварительного уведомления оператора.

Решение о приостановлении возобновлении проведения выездной проверки оформляется приказом органа по контролю и надзору, в котором указываются основания приостановления возобновления проведения выездной проверки. Уведомление оператора о приостановлении возобновлении проведения выездной проверки осуществляется путем направления копии приказа оператору любым доступным способом в течение 3 рабочих дней со дня издания приказа о приостановлении возобновлении проведения выездной проверки.

Проведение мероприятий по контролю без взаимодействия с операторами. Мероприятия по контролю без взаимодействия с операторами проводятся в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований.

Мероприятия по контролю без взаимодействия с операторами проводятся уполномоченными должностными лицами органа по контролю и надзору на основании заданий на проведение таких мероприятий, утверждаемых руководителем уполномоченным заместителем руководителя органа по контролю и надзору.

К мероприятиям по контролю без взаимодействия с операторами относятся: а наблюдение за соблюдением требований при размещении информации в сети "Интернет" и средствах массовой информации; б наблюдение за соблюдением требований посредством анализа информации о деятельности оператора, которая представляется оператором в том числе посредством использования федеральных государственных информационных систем в орган по контролю и надзору в соответствии с федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации или может быть получена в том числе в рамках межведомственного информационного взаимодействия органом по контролю и надзору.

Задание на проведение мероприятия по контролю без взаимодействия с оператором выдается в случае: а наличия поручения Президента Российской Федерации, Правительства Российской Федерации, а также руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций; б обращения государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица, публикации в средствах массовой информации и размещения в сети "Интернет" информации о нарушении прав и законных интересов субъекта субъектов персональных данных и или нарушении требований.

По итогам проведения мероприятия по контролю без взаимодействия с оператором должностными лицами составляется докладная записка на имя руководителя органа по контролю и надзору уполномоченного заместителя руководителя.

При выявлении по итогам проведения мероприятия по контролю без взаимодействия с оператором нарушения признаков нарушения требований оператору направляется требование об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем персональных данных в течение 10 дней с информированием органа по контролю и надзору об исполнении указанного требования либо с представлением мотивированных пояснений по существу выявленных признаков нарушения требований.

В случае неисполнения оператором указанного в пункте 57 настоящих Правил требования составляется протокол об административном правонарушении в соответствии с Кодексом Российской Федерации об административных правонарушениях. Досудебный внесудебный порядок обжалования решений и действий бездействия должностных лиц Оператор вправе обратиться в орган по контролю и надзору устно в ходе личного приема или письменно с жалобой на решения и действия бездействие должностных лиц в ходе проведения проверок далее - жалоба.

Жалоба может быть направлена в форме электронного документа, подписанного усиленной квалифицированной электронной подписью оператора, по адресу электронной почты органа по контролю и надзору, указанному на официальном сайте органа по контролю и надзору в сети "Интернет".

Оператор вправе обжаловать решения и действия бездействие : а должностных лиц территориального органа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций - руководителю территориального органа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций; б должностных лиц Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или руководителя территориального органа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций - руководителю Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Личный прием должностными лицами проводится в установленные ими для приема дни и время. Жалоба рассматривается органом по контролю и надзору в течение 30 дней со дня ее регистрации. По результатам рассмотрения жалобы принимается решение: об отказе в удовлетворении жалобы; о частичном удовлетворении жалобы; об удовлетворении жалобы - отмене решений должностных лиц в том числе результатов проверки либо о возложении на должностных лиц обязанностей по восстановлению прав и или интересов лица, направившего жалобу.

Ответ на жалобу подписывается руководителем органа по контролю и надзору уполномоченным заместителем руководителя. При поступлении жалобы в форме электронного документа ответ на нее подписывается усиленной квалифицированной электронной подписью руководителя органа по контролю и надзору уполномоченного заместителя руководителя и направляется оператору любым доступным способом. Время публикации: 22.

ПОСМОТРИТЕ ВИДЕО ПО ТЕМЕ: Принуждение к Обработке Персональных Данных! Обезличивание/Блокирование/Уничтожение/Изменение РАБов!

Такие проверки будет проводить Роскомнадзор. Уже готов и вступил в силу Равно как и нет его и в Законе «О персональных данных». Никакие другие ведомства проводить проверки по обработке персональных данных не уполномочены и, соответственно, заниматься.

Они возникают из-за нечётких формулировок, неполных определений, запутанных норм и т. К нему прилагается очень много других документов, изданных разными ведомствами. И если вы каким-то образом используете персональные данные, эти ведомства могут вас проверить. В этой статье мы расскажем о том, кто к вам может прийти, и что проверить. Если для обработки данных вы используете компьютеры и компьютерные сети, кроме организационных и административных регламентов, вам неизбежно потребуются технические средства защиты. В некоторых случаях они должны быть сертифицированными. Если в применённых вами средствах защиты данных использована криптография, к надзору подключается Федеральная служба безопасности РФ ФСБ. Сертифицированные средства криптографической защиты перечислены на сайте ФСБ. Кто и что может проверить? Имеется ли приказ о назначении лица, ответственного за осуществление Политики? ФСБ - Используются ли криптографические средства защиты?

Исключение составляют случаи, указанные в пунктах 2, 3, 4, 8 части 1 статьи 6 данного ФЗ ч.

Новые правила проверок Роскомнадзора в области персональных данных 21. Ранее порядок проведения проверок регулировался Административным регламентом 2011 г. Постановление обновило и дополнило этот порядок, закрепив его на более высоком нормативном уровне, как того требует законодательство.

Проверки по защите персональных данных: как проходят и можно ли оспорить

Работодатели собирают персональные данные, когда оформляют сотрудников на работу. Авторы рассылок — когда человек подписывается на письма. Продавцы — когда просят покупателей оставить имя и номер телефона для того, чтобы отправлять предложения по скидкам. Если вы собираете номера телефонов друзей, закон вас не касается. Но если у вас есть блог и вы собираете электронные адреса читателей для рассылки, вы становитесь оператором персональных данных. Документы с правилами обработки персональных данных сотрудниками компании или индивидуальным предпринимателем ч.

Как будут проверять операторов персональных данных

За столь большой срок надзорные органы о нем не позабыли и также проводят проверки бизнеса, а количество штрафов и суммы по ним выросли. Надзорный орган, Роскомнадзор, проверяет организации каждые 2-3 года, в т. Что будет, если не выполнять требования 152-ФЗ? Штрафы до 300 000 рублей с мультипликатором штрафы могут накладываться на каждое выявленное нарушение Блокировка сайта, мобильного ресурса и информационной системы Приостановление обработки персональных данных Кто попадает по требования закона? Под требования закона попадают бюджетные организации, частные компании и предприниматели, обрабатывающие персональные данные физических лиц например, работников, клиентов. Если вы трудоустраиваете людей в свою организацию на работу, или у вашей компании есть форма заявок или форма подписки на сайте, или для регистрации на вашем сервисе нужно заполнить форму с данными, то вы попадаете под требования закона. Попасть под требования закона может компания из любой отрасли: финансы, ИТ, стартапы, FMCG, производство, туризм и другие. Особое внимание уделяется международным организациям, у которых есть передача данных за рубеж. Чем мы можем вам помочь Уже 8 лет мы занимаемся исключительно вопросами защиты персональных данных.

Плановые проверки проводятся на основании ежегодного плана деятельности Управления далее - План деятельности , размещаемого на текущий календарный год.

Наше основное направление — информационная безопасность она же — ИБ. В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы. В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс англ.

Все о проверках защиты персональных данных: кто, кого и как?

.

Комплексный проект по №152-ФЗ «О персональных данных»

.

Персональные данные: кто придёт вас проверить?

.

.

.

.

ВИДЕО ПО ТЕМЕ: Отзыв согласия на обработку персональных данных Шаблон под видео
Похожие публикации