Проверки Роскомнадзора по персональным данным. Часть 1. Управление информационной безопасностью
Авторы Наши партнёры Наши проекты: IT WorldIT-WeeklyIT Contact
IT-Manager Allcio Manager
Вход
X

Логин

Пароль

Запомнить

Забыли свой пароль?

Проверки Роскомнадзора по персональным данным. Часть 1

Лента новостейБезопасностьУправление ИБ

Проверки Роскомнадзора по персональным данным. Часть 1

Ксения Шудрова | 14.11.2017

На конференциях и семинарах по защите персональных данных всегда поднимается тема проверок операторов. Слушателей интересуют возможные последствия проверок, суммы штрафов, длительность мероприятий и, разумеется, наилучший сценарий подготовки к проверке. Информацию по этой теме найти самостоятельно достаточно сложно: в последнее время на официальном сайте регулятора редко появляются сведения о прошедших проверках, хотя раньше такая информация выкладывалась регулярно. Можно было увидеть, какие нарушения выявлены, с указанием проверяемой организации и суммы штрафа. Теперь все, что нам доступно, — отчеты о деятельности Роскомнадзора и судебные решения. О том, что представляют собой проверки, и как к ним подготовиться, мы поговорим в этом цикле статей.

Давайте разберемся для начала: кто может проводить проверки по персональным данным. Для этого обратимся к положениям Федерального закона № 152-ФЗ «О персональных данных». Статья 19 п. 8 гласит, что контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных в государственных информационных системах персональных данных осуществляется ФСТЭК России и ФСБ России в пределах их полномочий. Для остальных организаций ФСТЭК России и ФСБ России могут быть наделены полномочиями по проверке только в случае особой значимости обрабатываемых ПДн (ст. 19 п. 9). Для коммерческих организаций такое развитие событий крайне маловероятно, а вот проверка Роскомнадзора вполне возможна (согласно статье 23, уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области ПДн).

Роскомнадзор имеет право:

  • запрашивать и безвозмездно получать информацию, необходимую для реализации своих полномочий;

  • осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных;

  • требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

  • ограничивать доступ к информации, обрабатываемой с нарушением законодательства;

  • принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства;

  • обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов в суде;

  • направлять во ФСТЭК России и ФСБ России описание мер защиты, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных»;

  • направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии;

  • направлять в правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;

  • вносить предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

  • привлекать к административной ответственности лиц, виновных в нарушении Федерального закона № 152-ФЗ.

Безусловно, операторов больше всего волнует п. 11 о привлечении к ответственности. С 1 июля этого года была переработана статья 13.11 КоАП, по которой обычно классифицируют нарушения в сфере персональных данных. Теперь штрафы не только повышены, но и дифференцированы по видам нарушений. Чтобы не запутаться в новой классификации, мною была составлена таблица-шпаргалка, где кратко описаны нарушения и наказания по категориям нарушителей (граждане, должностные лица, индивидуальные предприниматели и юридические лица).

img

Оператора часто интересует также, каким нарушениям регулятор уделяет особое внимание. По результатам анализа отчетов о деятельности Роскомнадзора мною была составлена таблица наиболее часто встречающихся нарушений. Таблица содержит краткое описание нарушаемой нормы, ее присутствие в отчетах за 2016 и/или 2017 год и ссылку на положение законодательства, которое было нарушено.

img

Обе таблицы можно использовать совместно. Например, обработка персональных данных в случаях, не предусмотренных законодательством, что соответствует нарушению № 5 из второй таблицы, предполагает согласно первой строке первой таблицы наказание в виде предупреждения или наложения административного штрафа в размере до 50 000 рублей. С помощью представленных таблиц можно наглядно показать руководству, сколько будут стоить те или иные недочеты в организации защиты персональных данных.

Какова вероятность проведения в отношении вас проверок, как они проходят и чем регламентируются — все это мы рассмотрим в следующих статьях.

Теги: персональные данные

Горячие темы: Угрозы и риски информационной безопасности

Журнал IT-Manager № 10/2017    [ PDF ]    [ Подписка на журнал ]

Об авторе

Ксения Шудрова

Ксения Шудрова

руководитель Красноярского отделения RISC, блогер


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме
Другие материалы рубрики

мероприятия

| 07.12.2017
XIII Пиринговый форум

Краснопресненская наб.,12.

Также смотрите

Избавиться от хлама всегда полезно. Тем более что иногда уборка дает такой впечатляющий результат, который превосходит любые ожидания
Сегодня не просто дать краткий ответ на этот вопрос, не упустив те или иные важные моменты

Журнал IT-Manager: № 10/2017

Последние новости

Фоторепортажи

Мероприятия

<<<< Ноябрь >>>>
Пн Вт Ср Чт Пт Сб Вс
303112345
6789101112
13141516171819
20212223242526
27282930123