Какой из регуляторов обеспечивает надзорные функции за соответствием обработки персональных сдо ржд

На оператора персональных данных (ПД) государство возлагает ряд обязанностей, направленных на защиту тайны личной жизни граждан. Выполнение этих обязанностей предполагает принятие организационных мер, которые должны ограничить несанкционированный доступ (НСД) к конфиденциальным сведениям. Меры принимаются с использованием сертифицированных программных и аппаратных средств, решающих задачи безопасности информации. Контроль за соответствием обработки персональных данных требованиям законодательства производится на уровне государственных ведомств – Роскомнадзора и ФСТЭК России. Внутренний контроль на уровне организации поможет подготовиться к проверкам и избежать штрафов.

Государственный контроль

С того момента, как компания приступает к обработке ПД и уведомляет об этом в Роскомнадзор, она попадает в сферу интересов государственных ведомств, призванных контролировать соблюдение законодательства. Защита персональных данных – в национальном законодательстве, сформировалась как направление защиты прав на сохранность информации о личной жизни.

В рамках этой концепции оператор персональных данных – юридическое лицо или индивидуальный предприниматель, который начал обрабатывать личную информацию лиц, не являющихся его сотрудниками, например, клиентов банков, абонентов мобильной связи, покупателей в интернет-магазинах.

На него возлагается ответственность за:

  • сохранность данных, исключение их утечки или разглашения;
  • соответствие правил работы с ПДн заявленным целям этой процедуры.

Оператор отвечает за действия сотрудников и третьих лиц, которым он передает данные для обработки.

Нормы ответственности в общем виде изложены в ст. 90 ТК РФ. Они разделяются на:

  • дисциплинарную. На сотрудника, допустившего утечку или иное неосторожное обращение с персональными данными, например, уничтожение, могут быть наложены взыскание, замечание или выговор. В ряде случаев разглашение ПД становится поводом для увольнения;
  • гражданско-правовую. Если действиями организации или сотрудника правообладателю был причинен ущерб, его компенсация будет возложена на виновника;
  • административную. Привлечение к ответственности в рамках норм АПК РФ происходит по результатам проверок. Помимо штрафа, мерой ответственностью иногда является приостановление деятельности, связанной с использованием ПД;
  • уголовную. УК РФ предусматривает ответственность за намеренное разглашение ПД, связанное с причинением существенного ущерба.

Административная ответственность предусмотрена ст. 11 КоАП РФ. На оператора персональных данных могут быть наложены штрафы за правонарушения в области работы с данными:

  • за работу с персональными данными в целях, не предусмотренных законом, или в противоречии с ранее заявленными целями;
  • за работу с данными без получения согласия правообладателя;
  • за отказ от разработки или публикации в открытом доступе политики по работе с данными;
  • за непредоставление правообладателю информации, касающейся судьбы его данных;
  • за отказ от уточнения, блокировки или уничтожения данных по требованию субъектов;
  • за невыполнение требований ФСТЭК РФ, касающихся использования сертифицированного программного обеспечения для защиты информации;
  • за отказ от хранения персональных данных на серверах, находящихся на территории РФ.

Уровень ответственности различен: суммы штрафов варьируются от 1 тыс. рублей для физлиц в случае незначительного нарушения до 18 миллионов рублей, которые заплатит организация, не в первый раз нарушившая нормы закона, предусматривающие отказ от хранения данных граждан за рубежом.

Также действуют нормы ст. 14 КоАП РФ, которая контролирует случаи разглашения информации с ограниченным доступом, к которой относятся и персональные данные. Штрафы невысоки, но ответственность распространяется даже на специальных субъектов права – адвокатов, которые за раскрытие доверенных им сведений отвечают как должностные лица.

Статья 5. 39 КоАП РФ вводит дополнительную ответственность за отказ раскрыть гражданину, какие именно документы о нем собраны и какие сведения имеются в организации. Такие действия часто без оформления согласия соискателей совершают кадровые агентства или службы безопасности работодателей, и закон защищает права гражданина на понимание, какая информация о нем находится в распоряжении третьих лиц.

Читайте также:  Имеет ли право работник ведущий делопроизводство документов с грифом коммерческая тайна сдо ржд

Незаконный сбор и распространение информации, а именно так можно квалифицировать эти действия, попадают и под уголовно-правовое регулирование. Статьи 137 и 212 УК РФ предусматривают ответственность за получение информации о гражданине без его ведома и ее передачу третьим лицам. Интересно, что за сбор и распространении информации и персональных данных граждан могут наказывать даже если речь идет о данных умерших лиц, сведения о которых распространялись без согласия наследников. Так, в 2012 году к ответственности по ст. 137 УК РФ был привлечен гражданин, собравший в архивах и распространивший сведения о репрессированных этнических немцах Поволжья.

Организация и проведение проверок

Проверки как форма контроля за соответствием работы с персональными данными требованиям закона проводятся государственными ведомствами – Роскомнадзором и ФСТЭК РФ. А в случаях, связанных с использованием средств криптографической защиты, – ФСБ РФ.

В обязанности Роскомнадзора входит проверка общих требований законодательства по защите персональных данных:

  • соответствие целей работы с ПД заявленным при подаче уведомления о начале занятия деятельностью, связанной с использованием персональных данных;
  • наличие политики по использованию ПД в общем доступе на сайте организации;
  • сбор согласий на обработку данных;
  • наличие приказов о назначении лиц, ответственных за работу с ПД;
  • наличие иной организационно-распорядительной документации.

ФСТЭК проверяет наличие средств технической защиты информации, важно, чтобы это были рекомендованные и сертифицированные ведомством программные средства. Проверки могут быть плановыми и внеплановыми. Плановые проводятся не чаще чем раза в три года, и первая организовывается не ранее чем через три года после того, как организация направила в Роскомнадзор уведомление о начале деятельности, связанной с ПД. Внеплановая проверка проводится в любое время, в ситуации, не терпящей отлагательств, например, когда намеренное разглашение персональных данных привело к существенному ущербу для граждан.

Для проведения внеплановой проверки необходимо соблюдение двух условий:

  • наличие сигнала о существенном нарушении закона, заявление или истечение срока действия предписания об устранении ранее допущенных нарушений законодательства;
  • согласие региональной прокуратуры на назначение контрольного мероприятия.

Внеплановая проверка может проводиться только в серьезных ситуациях:

  • компания не выполнила предписание, выданное по результатам плановой проверки, его или не отчиталась о результатах его выполнения;
  • поступил сигнал от гражданина, компании, правоохранительного органа, СМИ, муниципальных властей о критической ситуации, связанной с тем, что причинен ущерб жизни или здоровью граждан, или существует риск такого ущерба, нарушены иные права граждан, деятельность организации не соответствует тем позициям, которые были заявлены в уведомлении.

Заявление, на основании которого проводится внеплановая проверка, обязательно должно позволять идентифицировать личность заявителя.

Если о плановой проверке компания узнает за год, из графика, размещенного на сайтах Генпрокуратуры и Роскомнадзора, то о внеплановой ее предупреждают за сутки по каналам связи, указанным в уведомлении о начале деятельности, связанной с использованием персональных данных.

Порядок проведения проверок Роскомнадзором утвержден в виде регламента, доступного на сайте ведомства. Он описывает два типа проверок:

  • документарная. Она проводится в виде истребования интересующих ведомство документов, их изучение происходит в территориальном офисе ведомства;
  • выездная. При проведении выездной проверки сотрудники Роскомнадзора выезжают в офис организации и изучают документы и порядок работы с персональными данными на месте.

Состав группы проверяющих всегда не менее двух сотрудников территориального органа, при необходимости они вправе пригласить эксперта или иного уполномоченного представителя. Срок каждого типа проверок ограничен 20 днями, на основании мотивированного постановления территориального подразделения ведомства он может быть продлен еще на 20 дней. Это усиление мер контроля за соответствием обработки персональных данных требованиям законодательства обычно обусловлено непредоставлением документов проверяемыми организациями или неясностями в документах.

Читайте также:  Какие положения включает в себя понятие пожарная безопасность ответ тест сдо ржд

Результатами проверки становятся:

  • составление акта проверки и направление его в адрес организации;
  • выдача предписания об устранении нарушений закона;
  • привлечение оператора к административной ответственности;
  • выдача предписания о приостановлении деятельности;
  • направление мотивированного заключения в правоохранительные органы с просьбой о привлечении сотрудников оператора к уголовной ответственности.

Акт проверки, в случае несогласия, обжалуется в вышестоящем подразделении федеральной службы, обжаловать протокол о привлечении к административной ответственности можно в суде.

Другие меры реагирования

Роскомнадзор выступает гарантом соблюдения оператором требований законодательства об обработке персональных данных. Если гражданин узнал о нарушении своих прав, он может обратиться в ведомство.

Оно обязано своевременно отреагировать на следующие обращения:

  • обработка персональных данных без согласия;
  • незаконный запрос сведений о судимости, что разрешено только государственным и муниципальным органам;
  • несоответствие целей использования ПД ранее заявленным;
  • передача данных третьим лицам для обработки или в других целях без получения согласия гражданина;
  • разглашение данных, например, в СМИ;
  • неуничтожение персональных данных в случаях, предусмотренных законом. Так, банк обязан уничтожить все сведения о лицах, которым было отказано в кредите, в течение трех дней после отказа;
  • отказ блокировать, уточнить или уничтожить ПД;
  • отказ оператора ПД сообщить, какие документы и сведения о гражданине находятся в его распоряжении.

Одним из случаев, когда вмешательство Роскомнадзора помогло пресечь незаконный сбор и распространение персональных данных, стал сбор в 2019 году биометрических данных – отпечатков пальцев – в подмосковных школах представителями бизнес-школы «Синергия». Заявлялась цель выявления навыков и способностей школьников, но информация собиралась без оформления согласия родителей. Вмешательство ведомства и реализация им функций контроля за соответствием обработки персональных данных законодательству помогла пресечь незаконную практику.

Обращаться в ведомство по вопросам нарушения прав можно с жалобой не только на российских резидентов, но и на иностранные компании, работающие на территории России. На сайте ведомства следует зайти в раздел «Обращения граждан», выбрать подраздел «Обработка персональных данных», изложить суть обращения. Требуется оставить ФИО и адрес, на который будет направлен официальный ответ.

Внутренний контроль

Подготовиться к проверке можно, возложив обязанности по контролю за соответствием обработки персональных данных законодательству на службу внутреннего контроля. Указав в положении о службе функции по проверке, можно рассчитывать, что она будет проводиться в постоянном режиме и компания окажется готовой к визиту ревизоров.

Если таких полномочий у службы внутреннего аудита нет, проверка проводится специально созданной комиссией, при необходимости в ее состав включаются внешние эксперты. Это особенно актуально, если компании предстоит проверка ФСТЭК.

  • контроль используемого программного обеспечения с точки зрения наличия сертификатов ФСТЭК РФ и сроков их действия, легитимности приобретения, наличия документов об оплате;
  • наличие работающей системы разграничения прав доступа пользователей к информационным массивам, содержащим персональные данные;
  • ведение журнала учета действий пользователей.

Результатом контрольных мероприятий должны стать рекомендации о порядке подготовки к проверке. Если бюджет организации не дает возможности внедрить рекомендуемые ведомством программные средства, в нормативных документах предусмотрены компенсирующие меры, и проверяющие должны порекомендовать, какие именно из них могут быть использованы.

Как внешний, так и внутренний контроль призван защитить права граждан на неприкосновенность персональных данных, тайны личной жизни, семейной тайны. Организации должны самостоятельно проверять, насколько их деятельность соответствует законодательству.

Согласно подпункту 5. 1 Постановления Правительства РФ от 16 марта 2009 г. Таким образом, защиту прав субъектов персональных данных осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Кто занимается защитой персональных данных?1. Уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Что входит в перечень персональных данных?В перечень обрабатываемых персональных данных входят:

  • расовая принадлежность;
  • биометрические персональные данные;
  • ФИО сотрудника;
  • место и дата рождения;
  • адрес (по прописке);
  • паспортные данные (серия, номер паспорта, кем и когда выдан);
Читайте также:  Каскор ответы для проверки

Ответ экспертаОператор персональных данных (ОПД) должен уведомить Роскомнадзор о своем намерении обрабатывать персданные до начала их обработки (ст. 22 Федерального закона от 27. 2006 № 152-ФЗ). С 1 сентября 2022 года уведомлять не нужно только в трех случаях (Федеральный закон от 14. 2022 № 266-ФЗ):

  • оператор обрабатывает ПД без автоматизации;
  • ПД включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
  • обработка ПД в случаях, предусмотренных законодательством РФ о транспортной безопасности.

До начала осени 2022 года из этого правила было девять исключений. Например, не нужно было уведомлять РКН об обработке ПД сотрудников в рамках трудовых правоотношений, ПД, состоящих только из фамилии, имени, отчества, либо личной информации, необходимой для оформления разового пропуска посетителю. Это означает, что подавляющее большинство ОПД, в том числе все работодатели, должны будут уведомить Роскомнадзор. До выполнения этой обязанности они не имеют права работать с личной информацией граждан. Форма уведомления приведена в приложении 1 к Методическим рекомендациям Роскомнадзора (Приказ Роскомнадзора от 30. 2017 № 94). Уведомление нужно направить одним из трех способов:

  • Через сайт Роскомнадзора с использованием усиленной квалифицированной электронной подписи.
  • В личном кабинете на портале Госуслуг. Для этого нужна подтвержденная учетная запись.

31 августа 2022 года Роскомнадзор сообщил на своем сайте, что предельный срок для подачи уведомления не определён. 1 сентября не является крайним сроком. Рекомендуем не откладывать подачу надолго и сделать это в ближайшее время. Роскомнадзор в течение 30 дней с даты поступления уведомления вносит информацию в реестр операторов персональных данных. Если вы отправляли бумажное, а не электронное письмо с УКЭП, дата будет отсчитываться с момента его получения территориальным отделением.

Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверкиУведомление Роскомнадзора — разовая акция. Если ваша компания уже есть в реестре, подавать заявку повторно не нужно. Но вам следует проверить сведения, которые есть в Роскомнадзоре. В частности, категории ПД и категории субъектов ПД, которые вы указывали в ранее поданном уведомлении. Если какие-то виды личной информации отсутствуют, например, из трудовых правоотношений, то нужно уведомить Роскомнадзор об изменении сведений (п. 7 ст. 22 152-ФЗ). Информационное письмо можно направить теми же способами, что и уведомление. На это отведено 10 рабочих дней с даты возникновения изменений. В случае с 266-ФЗ сроки надо отсчитывать с 1 сентября 2022 года.

К сожалению, такой страницы нет

Оставьте здесь свой отзыв о нашей работе!

Адвокатское бюро «Антонов и партнеры» — качественная юридическая помощь по всей России. Ваш регион не имеет значения!

Подготовим для Вас любой процессуальный документ по Вашим материалам (проект иска, жалобы, ходатайства и т. )! Недорого! Для заказа просто напишите нам сообщение в диалоговом окне в правом нижнем углу страницы либо позвоните нам по номеру в Москве +7 (499) 288-34-32 или в Самаре +7 (846) 212-99-71
Каждому Доверителю гарантируем индивидуальный подход и гибкую ценовую политику, конфиденциальность и поддержку в течении 24 часов в сутки!

Какой из регуляторов обеспечивает надзорные функции за соответствием обработки персональных сдо ржд

Оплачивайте юридическую помощь прямо с сайта

Какой из регуляторов обеспечивает надзорные функции за соответствием обработки персональных сдо ржд

Какой из регуляторов обеспечивает надзорные функции за соответствием обработки персональных сдо ржд

Добавляйтесь к нам в друзья

  • Поиск судебных актов
  • Образцы документов по уголовным делам
  • Алгоритм защиты по уголовным делам
  • Недопустимые доказательства. Практика кассационных судов
  • Образцы документов по гражданским делам
  • Образцы документов по арбитражным делам
  • Образцы документов по административным делам
  • Пленумы ВС РФ по уголовным делам
  • Образцы адвокатских запросов
  • Европейский суд по правам человека

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *