Операторов обработки персональных данных начнут проверять по новым правилам Как теперь будут проводиться проверки юрлиц и индивидуальных предпринимателей и как к ним подготовиться? Правительством РФ были приняты1 Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных далее — Правила. Они вступили в силу 23 февраля и обязательны к применению Роскомнадзором, который и должен контролировать обработку таких данных. Если вы собираете, храните и используете персональные данные, то мы рекомендуем вам ознакомиться с нововведениями в процедуре проведения плановых и внеплановых проверок, внесенными новыми Правилами.

Условия обработки персональных данных

Примерно так было, когда Государственная инспекция труда начала проводить проверки работодателей, используя риск-ориентированный подход см. А это практически все компании, но особенно ретейлеры, заведения общепита, компании сферы семейного досуга, которые работают с персональными данными своих клиентов.

И хотя риск-ориентированный подход пока не введен, знать о том, как он будет применяться, лучше заранее, считают юристы. А еще не лишним будет разобраться, что вообще происходит сейчас при проверках Роскомнадзора компаний, работающих с персональными данными. В отношении лиц с более высоким классом опасности проверки и иные контрольно-надзорные мероприятия проводятся чаще.

В отношении лиц с наиболее низким классом опасности плановые проверки могут не проводиться совсем, а внеплановые — только по жалобам граждан. Такой подход гораздо удобнее сплошного подхода к проверкам, при которых все поднадзорные субъекты проверяются с равной периодичностью.

Причем данная статья вступила в силу только с 1 января года. В ней дается определение риск-ориентированного подхода и устанавливается, что направления контрольно-надзорной деятельности, где будет применяться риск-ориентированный подход, определяются Правительством РФ.

Такой перечень появился в году. Он несколько раз дополнялся в и году, однако надзор в сфере персональных данных в этом перечне пока не появился. Соответственно, риск-ориентированный подход при осуществлении государственного надзора в сфере персональных данных пока не применяется. Но можно предположить, что он будет введен в самое ближайшее время.

И вот почему. Но частота таких проверок сейчас определяется без учета риск-ориентированного подхода. То есть ведомство должно проверять всех одинаково часто. А вот при введении риск-ориентированного подхода оно будет чаще проверять компании, у которых много рисков, связанных с нарушением законодательства в сфере персональных данных, и реже проверять или проверять только по жалобам граждан тех, у кого мало таких рисков.

Насколько строгими будут меры защиты персональных данных при их обработке зависит от того, какие и в каком количестве данные обрабатываются и насколько существенный вред может быть причинен при утечке. Есть предположение, что критерии риск-ориентированного подхода при определении мер защиты персональных данных могут быть применены и при определении частоты проверок.

Потому что логично, что необходимость применения более строгих требований по защите персональных данных и необходимость более частых проверок имеют под собой одни и те же причины. Например, трансграничная передача персональных данных, принятие решений на основе исключительно автоматизированной обработки персональных данных связаны с необходимостью соблюдения специальных требований законодательства.

Соответственно, и риски нарушения законодательства при такой обработке данных выше. В то же время обработка общедоступных персональных данных, данных, принадлежащих исключительно работникам оператора, данных, состоящих только из фамилии, имени и отчества влечет более низкие риски нарушения законодательства и прав граждан — и должна снижать присвоенный класс опасности и частоту проверок.

Следует учитывать, что Роскомнадзор, в первую очередь, обращает внимание на следующие моменты: Было ли подано в Роскомнадзор уведомление об обработке персональных данных. Необходимо или представить данные о направлении такого уведомления, или сослаться на одно из оснований, позволяющих обрабатывать данные без уведомления Роскомнадзора.

Если уведомление в Роскомнадзор было подано — соответствует ли реальное положение дел данным, указанным в уведомлении. Соблюдены ли требования к неавтоматизированной обработке персональных данных: кто обрабатывает персональные данные, как хранятся документы. Например, если у ритейлера введена программа лояльности, анкеты в рамках которой заполняются и обрабатываются на бумаге — где и каким образом хранятся и обрабатываются такие анкеты.

Утверждена ли политика обработки персональных данных. Если данные собираются через сайт компании — размещена ли такая политика на сайте. Это, опять же, может касаться, например, ритейлеров - в части регистрации клиентов в программе лояльности, сбора отзывов клиентов о деятельности компании. Персональные данные каких субъектов обрабатываются и на каком основании.

Допустимые основания для обработки персональных данных перечислены в части 1 статьи 6 Закона о персональных данных. Если данные обрабатываются на основании согласия субъекта персональных данных — соблюдены ли требования закона к такому согласию статья 9 Закона о персональных данных.

Передаются ли персональные данные третьим лицам. Если да, соблюдаются ли требования закона, касающиеся передачи наличие согласия субъекта, соответствующие условия в договоре с третьими лицами, требования, касающиеся трансграничной передачи данных.

Обрабатываются ли специальные категории персональных данных и биометрические персональные данные. Соблюдены ли условия для такой обработки. Соблюдаются ли требования о локализации персональных данных часть 5 статьи 18 Закона о персональных данных.

Используя приведенные выше критерии и требования, компания может, во-первых, надлежащим образом подготовиться к проверке Роскомнадзора, а, во-вторых, выявить наиболее существенные риски, связанные с обработкой персональных данных.

Снижение таких рисков позволит компании декларировать более низкий класс опасности, когда риск-ориентированный подход в этой области будет введен.

Очень часто операторы допускают такие ошибки, которые могут причинить существенный вред субъекту персональных данных.

Приняты новые правила государственного надзора за операторами персональных данных

Типичные нарушения В отчете отмечено, что наиболее типичными нарушениями требований Федерального закона от Постановлением Правительства РФ от Следует отметить, что году наиболее пристальное внимание специалистов Роскомнадзора было обращено на организацию работы с персональными данными в кадровых и коллекторских агентствах, кредитных организациях и компаниях, осуществляющих пассажирские авиаперевозки.

Уполномоченные органы (регуляторы)

Общие положения 1. Положение об обработке персональных данных в Территориальном органе Росздравнадзора по Пензенской области далее — Положение определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Территориальном органе Росздравнадзора по Пензенской области далее — Территориальный орган. Обработка персональных данных в Территориальном органе осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных. Принципы обработки персональных данных в Территориальном органе 2. Обработка персональных данных осуществляется на законной и справедливой основе. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Защита персональных данных: результаты контроля

Новости рынка На сайте РКН наконец-то появились отчеты за год, а именно: Доклад об осуществлении государственного контроля надзора и об эффективности такого контроля надзора за год DOCX, 1. А вот про успехи по контролю блогеров и ведению соответствующего реестра я информацию не нашел. Документ довольно большой, почти страниц, многие цифры и тезисы повторяются несколько раз.

Полезное видео:

Все о проверках защиты персональных данных: кто, кого и как?

Уполномоченные органы регуляторы Уполномоченные органы регуляторы в сфере обработки персональных данных Роскомнадзор Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - является уполномоченным органом по защите прав субъектов персональных данных, осуществляет контроль и надзор за соответствием обработки ПДн требованиям законодательства РФ. Права Роскомнадзора: 1. Получение у физических или юридических лиц информации, необходимой для реализации своих полномочий; 2. Осуществление проверки сведений, содержащихся в уведомлениях об обработке персональных данных, или привлечение для осуществления такой проверки иные государственные органы в пределах их полномочий; 3. Требование от оператора блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; 4.

Государственный контроль (надзор) за соответствием обработки персональных данных

Подпункт в редакции, введенной в действие с 14 декабря года приказом Минкомсвязи России от 8 октября года N Предмет государственного контроля надзора 5. Предметом государственного контроля надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных являются: 5. Документы, характер информации в которых предполагает или допускает включение в них персональных данных.

Сколько платят в ритейле

Согласно закону к операторам, осуществляющим обработку персональных данных, относятся государственные органы, муниципальные органы, юридические или физические лица. На территории Ростовской области операторами, осуществляющими обработку персональных данных физических лиц, являются местные органы самоуправления, учреждения образования, здравоохранения, культуры, предприятия транспорта, промышленности, торговли, туроператоры, предприятия и организации туристической отрасли, жилищно-строительные кооперативы, товарищества собственников жилья, управляющие компании, субъекты малого и среднего предпринимательства и другие юридические лица. Обработка персональных данных операторами осуществляется посредством сбора, накопления, хранения, использования, распространения в том числе - передачи , обезличивания, уничтожения как с использованием средств автоматизации, так и без использования таких средств. Исходя из требований федерального законодательства оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного к ним доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных на территории Ростовской области осуществляет Управление Роскомнадзора по Ростовской области - уполномоченный орган по защите прав субъектов персональных данных. Контроль и надзор за выполнением требований к обеспечению безопасности персональных при их обработке в информационных системах персональных данных осуществляется Федеральной службой безопасности и Федеральной службой технического и экспортного контроля, в пределах своих полномочий. В соответствии с Федеральным законом "О персональных данных" операторы, осуществляющие обработку персональных данных, обязаны уведомить уполномоченный орган по защите прав субъектов персональных данных о такой обработке. На основании уведомлений формируется общероссийский реестр операторов, осуществляющих обработку персональных данных.

Отчет РКН за 2014 год

Указанные Правила были приняты в целях реализации полномочия Правительства РФ, предусмотренного частью 1. Правила вступают в силу 23 февраля года и обязательны к применению уполномоченным органом — Роскомнадзором. Ранее порядок проведения контрольно-надзорных мероприятий регламентировался соответствующим Административным регламентом Роскомнадзора[3] далее — Регламент. Изменены сроки проведения проверок Ранее пунктом 20 Регламента было установлено, что срок проведения и плановых, и внеплановых проверок не может превышать 20 рабочих дней и может быть продлен в исключительных случаях не более чем на 20 рабочих дней.

Надзор и контроль в сфере обработки персональных данных. Федеральная служба по надзору в сфере связи, информационных технологий и.

Уполномоченные органы (регуляторы)

Управления Роскомнадзора по Республике Башкортостан 1 Общая часть 1. Конфиденциальность, сохранность и защита персональных данных обеспечиваются отнесением их к сфере негосударственной служебной, профессиональной тайны. Граждане субъекты персональных данных — физические лица, обращающиеся к Управлению-оператору с заявлениями, жалобами, предложениями и по другим вопросам. Работники субъекты персональных данных — физические лица, состоящие в трудовых и иных гражданско-правовых отношениях с Управлением-оператором, в том числе: государственные гражданские служащие гражданине, состоящие на постоянной основе на должностях государственной гражданской службы, замещаемых путем заключения служебного контракта ; соискатели на замещение вакантных должностей и лица, находящиеся в кадровом резерве физические лица, готовящиеся вступить в трудовые или иные гражданско-правовые отношения с Управлением-оператором. Документы, содержащие персональные данные гражданина - документы, необходимые для осуществления в установленном порядке государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Документы, содержащие персональные данные работника - документы, которые работник предоставляет Управлению-оператору работодателю в связи с трудовыми отношениями и касающиеся конкретного работника субъекта персональных данных , а также другие документы, содержащие сведения, предназначенные для использования в служебных целях. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу субъекту персональных данных. Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Обработка персональных данных гражданина или работника - любое действие операция или совокупность действий операций , совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение обновление, изменение , извлечение, использование, передачу распространение, предоставление, доступ , обезличивание, блокирование, удаление, уничтожение персональных данных гражданина или работника. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Требования законодательства Российской Федерации в области обработки персональных данных

Введение В марте года мы писали о том, какие Новые штрафы за нарушения законодательства о персональных данных появились в России. Помимо самих штрафов, изменения коснулись и порядка возбуждения дел об административных правонарушениях. Так как любая организация обрабатывает персональные данные хотя бы своих работников , эти изменения повлияют на практику работы с такой информацией. В этой статье мы систематизируем информацию о проверках в сфере персональных данных, обсудим основные моменты полномочий государственных органов, осуществляющих контроль и надзор в этой сфере, и обратим внимание на действия организаций, которые могут привести к внеплановым контрольным мероприятиям. Прежде всего, поговорим об основных органах, которые могут осуществлять контроль и надзор в сфере персональных данных.