+7 (499)  Доб. 448Москва и область +7 (812)  Доб. 773Санкт-Петербург и область
ГлавнаяКакКакой орган проверяет организации на предмет защиты персональных данных

Какой орган проверяет организации на предмет защиты персональных данных

Получите бесплатную консультацию прямо сейчас:
+7 (499)  Доб. 448Москва и область +7 (812)  Доб. 773Санкт-Петербург и область

З ащита персональных данных становится задачей каждой компании, которая получает их в соответствии со своими уставными целями. На эти компании ложатся определенные обязанности — от разработки документации до установки соответствующего программного обеспечения. На определенные государственные ведомства возложены задачи по контролю над соблюдением законодательства, действующего в этой сфере. Он же определяет государственные организации, уполномоченные осуществлять контроль в этой сфере.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь в форму онлайн-консультанта справа или звоните по телефонам, представленным на сайте. Это быстро и бесплатно!

Содержание:

С этого года все работодатели должны быть готовы к проверкам соблюдения ими правил обработки персональных данных.

Проверка Роскомнадзора: как подготовиться и избежать штрафов

Если деятельность компании связана с обработкой персональных данных, необходимо учитывать много нюансов. На требования каких регуляторов в России следует ориентироваться? Какие виды проверок существуют?

Как к ним подготовиться? В статье описан пошаговый алгоритм подготовки к проверкам, а также рассмотрены типичные нарушения, выявляемые надзорными органами. Обработка персональных данных в настоящее время присутствует в каждой компании. Отличием лишь является состав и объем обрабатываемых данных: в каких-то компаниях обрабатывается небольшой массив данных только по своим работникам, в других могут обрабатываться данные различных групп субъектов персональных данных и уже в больших объемах.

В той или иной степени всем российским компаниям необходимо выполнять требования законодательства Российской Федерации по персональным данным. Законодательство в области обработки персональных данных сегодня можно считать вполне сформировавшимся.

Основополагающему закону о персональных данных уже более 10 лет. За это время была разработана нормативная база в развитие отдельных положений федерального закона постановления, приказы , при этом сам федеральный закон и нормативные акты уже не раз менялись и продолжают изменяться. При наличии обязательных требований в области обработки и защиты персональных данных законодательством предусмотрены также государственный контроль и надзор за их соблюдением.

И хотя законодательство не является новым, у большинства компаний возникают трудности при прохождении такого госконтроля проверки. При этом нередко компании начинают заниматься вопросами обеспечения соответствия требованиям законодательства только накануне запланированной проверки со стороны регулятора. В статье не ставится задача детального описания всей нормативной базы, которая относится или может быть отнесена к области обработки и защиты персональных данных.

Рассмотрим основные нормативно-правовые акты в области обработки и защиты персональных данных, которые являются минимально необходимыми и достаточными для выполнения среднестатистической российской компанией установленных требований законодательства. Основные требования в области обработки персональных данных содержатся в следующих нормативных документах:.

На рисунке ниже представлена структура основных нормативно-правовых актов в области обработки и защиты персональных данных, которые необходимо знать перед грядущей проверкой.

При этом еще раз обращаем внимание на то, что в статье не рассматриваются различные федеральные законы в сфере информационных технологий и защиты информации, указы Президента, постановления Правительства РФ для государственных и муниципальных органов, документы в области лицензирования деятельности по технической защите конфиденциальной информации и т.

Рисунок 1. Структура основных нормативно-правовых актов в области обработки и защиты персональных данных. Для обеспечения соответствия требованиям основных нормативно-правовых актов компании необходимо выполнить следующие работы:.

Таким образом, указанные нормативно-правовые акты отражают основные вопросы, которые проверяются при проведении проверок в области обработки персональных данных. Ниже рассмотрим, кто может быть тем самым проверяющим и какие виды проверок могут проводиться. Определившись с законодательством РФ в области обработки персональных данных, перейдем к рассмотрению регуляторов, которые могут выступать в роли проверяющих в области обработки персональных данных.

В соответствии с ФЗ функции по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ осуществляет уполномоченный орган по защите прав субъектов персональных данных, которым является федеральный орган исполнительной власти — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Роскомнадзор.

Но Роскомнадзор может контролировать только вопросы, связанные с обработкой персональных данных, а именно соответствие такой обработки требованиям законодательства. Выполнение организационных и технических мер по обеспечению безопасности персональных данных контролируют органы исполнительной власти, уполномоченные в области обеспечения безопасности и в области противодействия техническим разведкам и технической защиты информации — ФСБ России и ФСТЭК России соответственно.

ФСТЭК России контролирует вопросы технической защиты персональных данных, ФСБ России — вопросы защиты персональных данных в части использования средств криптографической защиты информации.

Вопросы обработки персональных данных также могут быть затронуты в рамках проверок трудовой инспекции. В этой связи отметим, что основные требования Трудового кодекса выполняются в рамках общего законодательства по персональным данным и в настоящей статье не рассматриваются.

Таким образом, есть три основных регулятора в области обработки и защиты персональных данных. Но при этом стоит отметить, что обозначенные регуляторы могут проверять не все организации. В соответствии с ФЗ, ФСТЭК России и ФСБ России уполномочены осуществлять контроль и надзор только при обработке персональных данных в государственных информационных системах, а также, в отдельных случаях, по решению Правительства РФ такие проверки могут осуществляться в отношении информационных систем персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных.

Поэтому большая часть компаний не попадает в область интересов указанных структур. В то же время практика проверок частных компаний присутствует, в частности, со стороны ФСБ России, однако она не носит массового характера. Таким образом, основным регулятором, который может провести проверку любой компании в области обработки персональных данных, является Роскомнадзор. Но если компанию не проверяет ФСТЭК России и ФСБ России, это еще не означает, что можно проигнорировать вопросы обеспечения безопасности персональных данных, потому что сложившаяся практика проверок показывает, что Роскомнадзор при проведении своих проверочных мероприятиях также затрагивает вопросы технической защиты персональных данных.

Такая ситуация в сфере проверок в настоящее время превратилась в устоявшуюся практику. Как было отмечено выше, основным регулятором в области обработки персональных данных, который может однажды посетить любую организацию, является Роскомнадзор. Поэтому далее мы продолжим обсуждать проверки в области персональных данных именно со стороны Роскомнадзора. Роскомнадзор осуществляет государственный контроль и надзор в области обработки персональных данных в соответствии с Административным регламентом исполнения Роскомнадзором государственной функции по осуществлению государственного контроля надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденным приказом Минкомсвязи России от Роскомнадзор выделяет в своей практике несколько видов проверок, которые приведены в таблице ниже.

Как видно из таблицы, проверки могут проводится в разных формах. Документарная проверка подразумевает под собой изучение организационно-распорядительной документации без выезда к проверяемому, а выездная проверка проводится по месту нахождения проверяемого. Как правило, при проведении плановой или внеплановой проверки совмещаются обе описанные выше формы контроля: документарная и выездная. Реже проверки проводятся только в документарной форме.

Мероприятия систематического наблюдения подразумевают под собой мониторинг интернета на предмет соблюдения требований по обработке персональных данных на сайтах различных компаний. Стоит также отметить, что для каждого вида проверок в регламенте Роскомнадзора определены различные основания для их проведения например, начало осуществления оператором деятельности по обработке персональных данных.

Таким образом, Роскомнадзор может проверить любую российскую компанию на предмет соблюдения требований законодательства в области обработки персональных данных. Поэтому, если вы еще не задумывались о вопросах обработки персональных данных и считаете, что вас проверка не коснется, советуем пересмотреть свои взгляды и заблаговременно привести процессы обработки персональных данных в соответствие законодательству РФ.

В зависимости от вида проверки плановая, внеплановая различаются сроки уведомления компании о предстоящей проверке. В случае плановой проверки компания уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения, в случае внеплановой — не менее чем за двадцать четыре часа до начала ее проведения.

Кроме того, плановые проверки формируются накануне планируемого периода, согласовываются с центральным аппаратом Роскомнадзора и публикуются на сайтах территориальных подразделений. Таким образом, компания может заранее узнать, есть ли она в списке проверок на следующий год, и, соответственно, более качественно подготовиться к проверочным мероприятиям. Конечно, не рекомендуется начинать заниматься вопросами законности обработки персональных данных накануне проверки ведь оператор персональных данных должен делать это постоянно , но, как показывает практика, в некоторых компаниях вопросы обработки персональных данных становятся актуальными непосредственно перед проверкой регулятора.

И до сих пор встречаются компании, где подобные работы начинаются с нуля. После того как стало известно о предстоящей проверке, в первую очередь, необходимо определиться, каким образом компания будет к ней готовиться: самостоятельно или с привлечением сторонних организаций-консультантов для более качественного выполнения подготовительных мероприятий предпочтительнее привлекать к таким работам лицензиатов ФСТЭК России по технической защите конфиденциальной информации, которые обладают соответствующими компетенциями и значительным опытом выполнения работ в части обработки и защиты персональных данных.

В любом случае, в компании необходимо определить ответственного сотрудника, который будет выполнять или курировать такие работы. Также необходимо учитывать сроки, которые есть у компании на подготовку. В случае внеплановой проверки и небольших сроков на подготовку компания уведомляется о проверке не менее чем за двадцать четыре часа до начала ее проведения организация вряд ли успеет выполнить полный комплекс работ по приведению своих процессов обработки персональных данных и информационных систем в соответствие требованиям законодательства РФ.

В случае если работы в области обработки персональных данных были выполнены ранее, то особых проблем внеплановая проверка не принесет: необходимо будет предоставить имеющиеся организационно-распорядительные документы и продемонстрировать, что процессы обработки персональных данных соответствуют требованиям законодательства.

В случае плановой проверки, как было отмечено выше, можно узнать о ней заранее из формируемых Роскомнадзором планов и спокойно к ней подготовиться, в том числе выполнить полностью все работы по приведению процессов обработки персональных данных и информационных систем в соответствие установленным требованиям. Чтобы полноценно подготовится к проверке Роскомнадзора, необходимо понимать, что же все-таки проверяет данный регулятор.

В соответствии с Административным регламентом в область проверки входит следующее:. Как правило, накануне проверки Роскомнадзор присылает приказ о проведении проверки, в котором, в том числе, указаны документы, которые запрашивает регулятор в ходе такой проверки. Ниже приведен пример подобного перечня документов, который может запрашиваться Роскомнадзором перечни могут отличаться в зависимости от территориального органа Роскомнадзора :.

Приведение процессов обработки персональных данных и информационных систем в соответствие требованиям законодательства РФ включает в себя следующие основные мероприятия:. Выше мы привели краткое описание основных мероприятий, которые необходимо выполнить накануне проверки.

Конечно же, каждый из перечисленных этапов работ включает в себя множество других необходимых мероприятий, которые не рассматриваются в настоящей статье. В случае, когда у компании работы в части обработки и защиты персональных данных уже выполнены, мы тем не менее рекомендуем актуализировать все выполненные мероприятия по приведенному выше плану. Также подготовиться к проверке поможет информация о наиболее часто выявляемых Роскомнадзором нарушениях в области обработки персональных данных.

Список таких нарушений отражает, что смотрит Роскомнадзор и на что обращает внимание. Сведения о наиболее распространенных нарушениях в области обработки персональных данных Роскомнадзор предоставляет на различных конференциях, кроме того, эта информация отражается в различных отчетах, которые являются общедоступными.

Согласно приведенной в этом документе информации, в году регулятором были выявлены следующие типичные нарушения:. В настоящей статье были рассмотрены законодательные аспекты обработки персональных данных, основные регуляторы в области обработки персональных данных, виды существующих проверок со стороны Роскомнадзора, а также приведено краткое описание мероприятий, позволяющих компании подготовиться к проверке регулятора.

Учитывая, что внимание Роскомнадзора может коснуться любой компании, связанной с обработкой персональных данных, целесообразно заблаговременно готовиться к проверочным мероприятиям.

Подготовиться к подобной проверке компания может самостоятельно или с привлечением сторонних профессиональных консультантов в области обработки и защиты персональных данных для минимизации трудозатрат компании и более качественной подготовки к проверке регулятора. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

Все права защищены. Перейти к основному содержанию. ИКС: мощный межсетевой экран нового поколения Современный фаервол для учета трафика и полноценного контроля интернет-подключений. Контент-фильтр, антивирус, VPN, защита от утечек информации, сетевые сервисы: прокси-, файловый-, веб-серверы. Вверх Проголосовало: Защита персональных данных. Соответствие законодательству РФ. Введение Проверка в области обработки и защиты персональных данных 2. Законодательство в области персональных данных 2.

Регуляторы в области персональных данных 2. Виды проверок Как подготовиться к проверке регулятора 3. Если компании предстоит пройти проверку 3. Что проверяет Роскомнадзор 3. Основные мероприятия при подготовке к проверке 3. Ниже в статье рассмотрим, кто и что проверяет и как можно подготовиться к такой проверке. Проверка в области обработки и защиты персональных данных Законодательство в области персональных данных В статье не ставится задача детального описания всей нормативной базы, которая относится или может быть отнесена к области обработки и защиты персональных данных.

Регуляторы в области персональных данных Определившись с законодательством РФ в области обработки персональных данных, перейдем к рассмотрению регуляторов, которые могут выступать в роли проверяющих в области обработки персональных данных. Виды проверок Как было отмечено выше, основным регулятором в области обработки персональных данных, который может однажды посетить любую организацию, является Роскомнадзор. Таблица 1. В отношении Операторов, не включенных в Реестр, но осуществляющих обработку персональных данных.

РКН начинает проверку работодателей по защите персональных данных. Как подготовиться

В соответствии с ФЗ "О персональных данных" выделяют три регулятора в области защиты персональных данных :. В целях контроля соблюдения операторами требований безопасности в области защиты ПД регуляторы проводят плановые и внеплановые проверки. Роскомнадзор проводит плановые проверки с целью контроля сведений, указанных в уведомлении уполномоченного органа по защите ПД, а также внеплановые — на основании заявления физических лиц с целью проверки информации, указанной в данном заявлении. ФСБ России имеет право проводить плановые проверки:.

Контроль в области защиты персональных данных

Как подготовиться к проверке? Как пройти проверку с наименьшими потерями? Такие вопросы возникают перед руководителями службы безопасности служб информационной безопасности , когда они узнают о предстоящей проверке. В данной статье речь пойдет о том, как самостоятельно успешно пройти проверку регуляторов, не прибегая к помощи сторонних организаций. Попова Кто такие регуляторы и что они проверяют?

ПОСМОТРИТЕ ВИДЕО ПО ТЕМЕ: Организация защиты персональных данных

Ранее порядок проведения проверок регулировался Административным регламентом г. Постановление обновило и дополнило этот порядок, закрепив его на более высоком нормативном уровне, как того требует законодательство. Несмотря на то, что общие правила проведения проверок, установленные Административным регламентом, не изменились, Постановление вводит ряд любопытных, на наш взгляд, положений. Среди них можно отметить следующие.

Какие органы проверяют выполнение требований закона о персональных данных?

Если деятельность компании связана с обработкой персональных данных, необходимо учитывать много нюансов. На требования каких регуляторов в России следует ориентироваться? Какие виды проверок существуют? Как к ним подготовиться?

Как подготовиться к проверке регуляторов по персональным данным

.

.

Все о проверках защиты персональных данных: кто, кого и как?

.

Новые правила проверок Роскомнадзора в области персональных данных

.

Инструкция по подготовке организации к проверке Ниже в статье рассмотрим, кто и что проверяет и как можно подготовиться к такой проверке​. Проверка в области обработки и защиты персональных данных прав субъектов персональных данных, которым является федеральный орган.

Кто контролирует защиту персональных данных

.

Как подготовиться к проверке регулятора по персональным данным (пошаговая инструкция)

.

.

Персональные данные: ответственность и проверки

.

.

Получите бесплатную консультацию прямо сейчас:
+7 (499)  Доб. 448Москва и область +7 (812)  Доб. 773Санкт-Петербург и область
Комментарии 3
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий

  1. harblicilsio1978

    Проводит ли Госслужба проверки соблюдения субъектами хозяйствования законодательства по защите БПД?

  2. apidganets1970

    В соответствии с ФЗ функции по государственному контролю и надзору за соответствием обработки.

  3. techenlyri1987

    Войдите , пожалуйста.