По каким правилам Роскомнадзор будет проверять операторов персональных данных?

Вопросу персональных данных в линии консультаций «Правовое обеспечение» было посвящено три публикации:

  1. Положение о персональных данных (выпуск от 15.05.2018);
  2. Политика оператора в отношении обработки персональных данных (выпуск от 01.09.2017);
  3. Обработка персональных данных (выпуск от 15.08.2017).

В публикациях достаточно подробно раскрыты вопросы, связанные с основными понятиями федерального законодательства по вопросу персональных данных. Напомним, что оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ст.3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Таким образом, любая образовательная организация является оператором персональных данных.

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст.3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти — Роскомнадзор, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (ст.23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

В 2017 году в статью 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» были внесены существенные дополнения — появилась часть 1.1., в которой указано, что «уполномоченный орган по защите прав субъектов персональных данных обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям настоящего Федерального закона и принятых в соответствии с ним нормативных правовых актов (государственный контроль и надзор за обработкой персональных данных). Порядок организации и проведения проверок юридических лиц и индивидуальных предпринимателей, являющихся операторами, уполномоченным органом по защите прав субъектов персональных данных, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными лицами, являющимися операторами, устанавливается Правительством Российской Федерации».

?

С 2017 года Правительством Российской Федерации проводились мероприятия по разработке такого порядка, логическим завершением которых является Постановление Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных». Данный документ будет являться предметом изучения в данной публикации. Начало действия документа — 23 февраля 2019 года.

Важно! Данный документ касается всех операторов персональных данных, т. е. к образовательным организациям он имеет непосредственное отношение.

Действие настоящих Правил не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Рассмотрим ключевые пункты Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных:

  • Государственный контроль и надзор осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) и её территориальными органами.
  • Проверки в классическом понимании в данных Правилах представлены в виде плановых и внеплановых.

Организация плановых проверок

Плановые проверки в отношении операторов проводятся в соответствии с ежегодными планами деятельности органов по контролю и надзору, размещаемыми на официальных сайтах органов по контролю и надзору в информационно-телекоммуникационной сети «Интернет» (далее соответственно — сеть «Интернет», план по контролю).

Основанием для включения плановой проверки в отношении оператора в план по контролю является истечение 3 лет со дня:

а) государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя;

б) окончания последней плановой проверки оператора.

Исходя из этого, делаем вывод, что 1 раз в три года образовательная организация как оператор персональных данных будет включаться в плановый контроль Роскомнадзора. Проверка может осуществляться и чаще — 1 раз в два года — особые основания (см. пункт 7 Правил).

Организация внеплановых проверок

Внеплановые проверки проводятся на основании приказа органа по контролю и надзору, изданного:

а) в случае неисполнения или частичного исполнения оператором предписания об устранении выявленного нарушения, выданного органом по контролю и надзору (проведение проверки не согласовывается с органами прокуратуры);

б) по результатам рассмотрения обращений граждан, поступивших в орган по контролю и надзору, при условии наличия в обращении материалов, подтверждающих факт нарушения их прав, определенных статьями 14-17 Федерального закона «О персональных данных», действиями (бездействием) оператора при обработке их персональных данных (проведение проверки согласовывается с органами прокуратуры);

в) в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации (проведение проверки не согласовывается с органами прокуратуры);

г) на основании требования прокурора об осуществлении внеплановой проверки;

д) на основании решения руководителя органа по контролю и надзору по итогам рассмотрения докладной записки, содержащей выводы о наличии нарушений требований, выявленных по результатам проведения мероприятий по контролю без взаимодействия с оператором (проведение проверки согласовывается с органами прокуратуры).

Порядок проведения проверки

Проверки проводятся органом по контролю и надзору на основании приказа, изданного уполномоченным должностным лицом, в форме документарной или выездной проверки.

Орган по контролю и надзору уведомляет оператора о проведении плановой проверки не позднее чем за 3 рабочих дня до даты начала ее проведения посредством направления копии приказа заказным почтовым отправлением с уведомлением о вручении, или посредством направления электронного документа, подписанного усиленной квалифицированной электронной подписью уполномоченного должностного лица, по адресу электронной почты оператора, если такой адрес содержится на сайте оператора в сети «Интернет» либо ранее был представлен оператором в орган по контролю и надзору, или иным доступным способом (далее — любой доступный способ).

О проведении внеплановой проверки оператор уведомляется органом по контролю и надзору не менее чем за 24 часа до начала ее проведения посредством направления копии приказа любым доступным способом.

Проверка проводится в отношении:

а) деятельности оператора по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации, на предмет ее соответствия требованиям, в том числе мер, принимаемых оператором во исполнение требований;

б) документов и локальных актов оператора, указанных в части 1 статьи 18.1 Федерального закона «О персональных данных», и принятых оператором мер, указанных в части 1 статьи 18.1 Федерального закона «О персональных данных»;

в) информационных систем персональных данных в части, касающейся обработки персональных данных субъектов персональных данных.

?

На заметку! Является ли официальный сайт образовательной организации информационной системой обработки персональных данных? Позиция Роскомнадзора: Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. В случае соответствия веб-сайта указанным требованиям он является информационной системой. Посредством официального сайта образовательной организации обрабатываются персональные данные (например, раздел «Обращения граждан», который должен быть абсолютно на всех официальных сайтах образовательных организаций). Отсюда делаем вывод — официальный сайт образовательной организации как информационная система становится объектом контроля в ходе надзорного мероприятия.

Срок проведения плановой проверки не может превышать 20 рабочих дней. Срок проведения плановой проверки может быть продлен однократно не более чем на 20 рабочих дней. Срок проведения внеплановой проверки не может превышать 10 рабочих дней. Срок проведения внеплановой проверки может быть продлен однократно не более чем на 10 рабочих дней.

Виды проверок: документарные и выездные

Порядок проведения документарных проверок

Документарная проверка осуществляется в рамках проведения плановой проверки посредством анализа документов и информации, полученных от оператора по письменному запросу органа по контролю и надзору (далее — запрос). Запрос направляется оператору органом по контролю и надзору любым доступным способом. Внеплановые документарные проверки не проводятся. Направленные оператору в соответствии с Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации» запросы о получении информации по существу вопросов, указанных в обращениях граждан и иных лиц, поступивших в орган по контролю и надзору, не являются документарной проверкой.

pen

Оператор обязан представить в орган по контролю и надзору документы и информацию, необходимые для проведения документарной проверки, в течение 5 рабочих дней со дня получения запроса. Указанные документы представляются в виде копий, заверенных печатью (при ее наличии) и подписью руководителя оператора или иного уполномоченного представителя оператора. Оператор вправе представить документы и информацию в форме электронных документов, подписанных усиленной квалифицированной электронной подписью, в том числе путем их направления с использованием сети «Интернет».

Документарная проверка проводится по месту нахождения органа по контролю и надзору. В случае непредставления оператором документов и пояснений в установленные сроки орган по контролю и надзору издает приказ о проведении выездной проверки.

Порядок проведения выездных проверок

Выездная проверка проводится по месту нахождения оператора и (или) по месту фактического осуществления им деятельности по обработке персональных данных.

изображение Оператор обязан представить должностным лицам, уполномоченным на проведение выездной проверки, необходимые для проведения проверки документы и информацию в срок, указанный в запросе. Такой срок не может составлять менее 2 рабочих дней со дня вручения указанного запроса. Оператор создает необходимые условия для проведения выездной проверки, по требованию должностных лиц обеспечивает доступ в помещения и к оборудованию, посредством которого осуществляется обработка персональных данных, и представляет информацию и документацию, необходимые для проведения выездной проверки.

При воспрепятствовании оператором проведению выездной проверки орган по контролю и надзору вправе обратиться в правоохранительные органы, в том числе в органы прокуратуры, за содействием в предотвращении или пресечении действий, препятствующих осуществлению государственного контроля и надзора.

Порядок оформления результатов проверки

По результатам проверки должностные лица, проводившие проверку, составляют акт проверки. При проведении выездной проверки в журнале оператора по учету проверок производится запись о проведенной проверке. В случае отсутствия такого журнала в акте проверки делается соответствующая запись.

Акт проверки должен содержать заключение:

  • об отсутствии в деятельности оператора нарушений требований;
  • о выявленных в деятельности оператора нарушениях требований с указанием статей и (или) пунктов нормативных правовых актов, которые были нарушены.

Меры, принимаемые в отношении фактов нарушения требований

В случае выявления по результатам проверки нарушения требований оператору вместе с актом проверки выдается предписание об устранении выявленных нарушений.

В предписании об устранении выявленных нарушений содержится описание нарушений с указанием соответствующих требований и определяется срок устранения нарушений, не превышающий 6 месяцев со дня выдачи предписания об устранении выявленных нарушений.

Оператор, которому было выдано предписание об устранении выявленных нарушений, исполняет его в установленный срок и представляет в орган по контролю и надзору информацию о результатах исполнения предписания с приложением документов, подтверждающих устранение указанных в предписании нарушений.

В случае неисполнения или частичного исполнения оператором выданного органом по контролю и надзору предписания об устранении выявленных нарушений орган по контролю и надзору проводит внеплановую выездную проверку.

В случае если неисполнение предписания об устранении выявленных нарушений нарушает права и законные интересы субъекта (субъектов) персональных данных, оператору направляется требование о приостановлении деятельности по обработке персональных данных до устранения нарушений, указанных в предписании.

В случае неисполнения оператором требования о приостановлении деятельности по обработке персональных данных составляется протокол об административном правонарушении в соответствии с Кодексом Российской Федерации об административных правонарушениях и принимаются меры, предусмотренные Федеральным законом «О персональных данных».

Организация и проведение мероприятий по контролю без взаимодействия с операторами

Мероприятия по контролю без взаимодействия с операторами проводятся в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований. Мероприятия по контролю без взаимодействия с операторами проводятся уполномоченными должностными лицами органа по контролю и надзору на основании заданий на проведение таких мероприятий, утверждаемых руководителем (уполномоченным заместителем руководителя) органа по контролю и надзору.

К мероприятиям по контролю без взаимодействия с операторами относятся:

а) наблюдение за соблюдением требований при размещении информации в сети «Интернет» и средствах массовой информации;

б) наблюдение за соблюдением требований посредством анализа информации о деятельности оператора, которая представляется оператором (в том числе посредством использования федеральных государственных информационных систем) в орган по контролю и надзору в соответствии с федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации или может быть получена (в том числе в рамках межведомственного информационного взаимодействия) органом по контролю и надзору.

Задание на проведение мероприятия по контролю без взаимодействия с оператором выдается в случае:

а) наличия поручения Президента Российской Федерации, Правительства Российской Федерации, а также руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций;

б) обращения государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица, публикации в средствах массовой информации и размещения в сети «Интернет» информации о нарушении прав и законных интересов субъекта (субъектов) персональных данных и (или) нарушении требований.

По итогам проведения мероприятия по контролю без взаимодействия с оператором должностными лицами составляется докладная записка на имя руководителя органа по контролю и надзору (уполномоченного заместителя руководителя).

изображение При выявлении по итогам проведения мероприятия по контролю без взаимодействия с оператором нарушения (признаков нарушения) требований оператору направляется требование об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем персональных данных в течение 10 дней с информированием органа по контролю и надзору об исполнении указанного требования либо с представлением мотивированных пояснений по существу выявленных признаков нарушения требований. В случае неисполнения оператором требований составляется протокол об административном правонарушении в соответствии с Кодексом Российской Федерации об административных правонарушениях.

Организация и проведение мероприятий по профилактике нарушения требований

В целях предупреждения нарушения оператором требований, устранения причин, факторов и условий, способствующих нарушению требований, орган по контролю и надзору осуществляет мероприятия по профилактике нарушения требований в соответствии с ежегодно утверждаемой им программой.

В целях профилактики нарушения требований орган по контролю и надзору:

а) размещает на своем официальном сайте в сети «Интернет» перечень нормативных правовых актов, содержащих требования;

б) осуществляет информирование операторов о положении дел в области защиты прав субъектов персональных данных;

в) обеспечивает ежегодное обобщение практики осуществления государственного контроля и надзора в области персональных данных посредством подготовки отчета о деятельности по осуществлению государственного контроля и надзора в области персональных данных;

г) размещает на своем официальном сайте в сети «Интернет» информацию о наиболее часто выявляемых в ходе осуществления контроля и надзора нарушениях требований, в результате которых оператор был привлечен к административной ответственности либо оператору было выдано предписание об устранении выявленных нарушений;

д) размещает на своем официальном сайте в сети «Интернет» руководства по соблюдению требований, информацию о проведении семинаров и конференций;

е) осуществляет разъяснительную работу в средствах массовой информации и иными способами;

ж) выдает предостережения о недопустимости нарушения требований.

pen

Оператор вправе обратиться в орган по контролю и надзору устно (в ходе личного приема) или письменно с жалобой на решения и действия (бездействие) должностных лиц в ходе проведения проверок (далее — жалоба). Жалоба может быть направлена в форме электронного документа, подписанного усиленной квалифицированной электронной подписью оператора, по адресу электронной почты органа по контролю и надзору, указанному на официальном сайте органа по контролю и надзору в сети «Интернет».

Итак, по утверждённым правилам 1 раз в три года мы точно ждём Роскомнадзор с проверкой! Будьте готовы.

Написать комментарий

Прикрепить файл
Вы можете прикрепить к сообщению не более пяти файлов (текст, видео, аудио), объемом не больше 5Мб каждый.

Информация персонального характера о пользователях официального сайта образовательной организации хранится и обрабатывается с соблюдением требований российского законодательства о персональных данных.

Политика оператора по обработке персональных данных

КомментарииКомментариев: 4

  • фото
    Диана 25 апреля 2019

    Вопрос Звягину Александру Сергеевичу. Тема "персональные данные". Суть вопроса в прикрепленном документе "вопрос"

    • фото
      Александр Звягин 25 апреля 2019

      Диана, ну значит Вы работаете на нашей платформе сайтов)) Размещение таких фотографий в сети Интернет не запрещено ,если соблюдать требования законодательства. Если кратко по сути: 1. Ребёнок не должен быть объектом съёмки. Снимаем мероприятие, а ребёнок лишь участник; 2. Не пишем под фото никаких персональных данных; 3. По первому требованию человека (или представителя несовершеннолетнего в случае ребёнка) фото должны удалить; 4. Избегаем любых портретных фотографий. Это если кратко. Относительно согласия родителей на размещение фото детей в сети могу сразу сказать - позиция Роскомнадзора однозначна - такое согласие ничтожно с момента его получения, т.к. законных оснований на распространение персональных данных несовершеннолетних в данном случае не имеет под собой никаких законных оснований! Это в случае, если, кроме фото, указываются персональные данные ребёнка.

  • фото
    Диана 27 апреля 2019

    Спасибо, Александр Сергеевич, за разъяснения. Теперь все понятно стало.

    • фото
      Александр Звягин 27 апреля 2019

      Отлично!