Вы находитесь здесь: Главная > Персональные данные > Проверка защиты персональных данных

Проверка защиты персональных данных

защита персональных данных

Законодательный акт, касающийся процедуры защиты персональных сведений, предусматривает необходимость обеспечения защиты индивидуальных данных работников компаний, предпринимателей и физических лиц. Контроль по исполнению законодательных норм входит в полномочия федеральной службы, осуществляющей надзор в сфере информационных технологий и средств связи (Роскомнадзор).

Организация защиты информации

Законодательными актами определены основные принципы организации методов защиты личных данных сотрудников компании:

• Соблюдение строгой конфиденциальности получаемой информации, ограничение числа работников, имеющих к ней доступ. Требование не касается передачи персональных сведений по сотрудникам, оговоренной, к примеру, НК и законодательными актами об организации учета при пенсионном или медицинском страховании.
• Достоверность информации, полнота данных, запрет на включение недостоверных сведений, а также информации полученной без письменного волеизлияния сотрудника, кроме оговоренных законом ситуаций.
• Законность целевого предназначения и методов, используемых при обработке информации. Персональные данные хранятся, пока в них присутствует необходимость, после чего подлежат уничтожению.
• Работник имеет право доступа к личным индивидуальным данным без каких бы то ни было рода ограничений.
• Гарантирование прав работника по обеспечению сохранности его персональных сведений, как со стороны работодателя, так и государственных органов. Нарушившие нормы обращения с индивидуальными сведениями, привлекаются к уголовной, административной гражданско-правовой ответственности.

Проверяющий орган и варианты проверок

Функции по контролю (надзору) в части защиты данных личного характера входят в ведение Роскомнадзора, некоторые контрольные права делегированы Государственной инспекции по труду. Последовательность и порядок взаимодействия надзорных органов со всеми заинтересованными сторонами определены в Административном регламенте.

Характер проверок, производимых Роскомнадзором по персональным данным, и контроль состояния их защиты бывает внеплановым, а также проводится и по ежегодным планам. Плановая контрольная процедура проводится по следующим причинам:
• начата деятельность, связанная с обработкой сведений персонального характера;
• истечение 3-х лет с момента регистрации работодателя или с момента последней плановой проверки.

К внеплановым проверкам прибегают, если:

• закончился период выданного в предыдущий период предписания о необходимости исправления обнаруженных нарушений;
• в территориальные подразделения Роскомнадзора поступили заявления от физических или юридических лиц о возникновении возможности нанесения или о нанесении ущерба жизни и/или здоровью работников;
• контролирующим органом получено указание, изданное на основании поручения вышестоящих государственных структур (президента, правительства РФ);
• нарушены права работников в ходе обработке индивидуальных сведений или допущены несоответствия информации фактическому состоянию дел.

Проверяющие запрашивают документы компании (оператора) и обследуют систему работы с данными в части, имеющей отношение к обработке в ней индивидуальных сведение.

Проверки выполняются в виде:

• контактов с проверяемой организацией при документарной или выездной обработке данных;
• процедур и мероприятий по систематическому наблюдению (без контактов), в ходе которых проверяющими делаются выводы о действиях оператора на основе анализа деятельности в отношении широкого круга граждан.

Документы, подлежащие контролю, и их содержание

К документам, изучаемым контролирующей стороной в ходе любого типа проверки по обработке персональных данных, относятся:

• уведомления;
• согласие носителя индивидуальных сведений (письменное) на работу с его данными;
• документы о соблюдении нормативных требований при работе с информацией, принадлежащей к особым категориям, а также с данными биометрического характера;
• акты уничтожения данных о субъекте, производимого после достижения целей, преследуемых в ходе работы;
• документы для проверки фактов нарушения закона по защите информации личного характера, содержащиеся в заявлениях, полученных от граждан и организаций;
• подтверждение выполнения оператором полученных предписаний по ликвидации ранее обнаруженных нарушений.

Особенности документарной проверки

Анализ правоустанавливающих документов оператора и сведений, используемых в процессе ведения деятельности по обработке информации, проводится по месту фактического расположения территориального подразделения Роскомнадзора.
Когда предоставленные проверяемой компанией данные не дают возможности полностью оценить ее деятельность или являются причиной обоснованных сомнений, члены проверочной комиссии могут выставить запрос о дополнительном предоставлении ряда документов. Оператор обязан предоставить ответ в течение десяти дней со дня получения запроса.

Копии подлежащих предоставлению документов выдаются с визой руководства или уполномоченного представителя и с печатью организации. Нотариальное заверение документов не требуется.

При обнаружении ошибок (несоответствий) в проверяемой документации оператору выставляется требование о необходимости предоставления разъяснений, которые должны быть оформлены в письменном виде.

Нарушения, определенные документарной проверкой, непредставление требуемых сведений в оговоренные законодательством сроки являются причиной для для принятия решения о проверке выездного типа.

Оформление результатов проверки и меры при обнаружении ошибок

По итогам любого типа проверки исполнителями готовится проверочный акт, требования о составлении которого содержатся в регламентирующих документах. При обнаружении нарушений оператору дополнительно выставляется предписание на их устранение.

Обнаружение нарушений в деятельности, связанной с хранением и обработкой данных личного характера, может повлечь, кроме выставления предписания, принятие следующих мер:

• при административном нарушении результаты проверки направляются в судебные органы, в прокуратуру;
• при обнаружении уголовно наказуемого правонарушения результаты обследования направляются в правоохранительные органы для определения степени тяжести правонарушения и принятия решения о возможности заведения уголовного дела.

К нарушителям также применяются и штрафные санкции. При неуплате штрафа в отведенные для этого сроки его размер увеличивается вдвое или же в отношении нарушителя применяется арест на срок до 15 суток.

При обнаружении нарушений или некорректного исполнения требования по лицензированию предпринимательской деятельности нарушитель предупреждается о возможности прекращения действия лицензии.

В случае непринятия мер по устранению нарушений запускается процедура по приостановке ее действия, при дальнейшем бездействии оператора лицензия аннулируется через суд.

Акт проверки Роскомнадзора по защите персональных данных после ознакомления заверяется руководством или уполномоченным работником.

В случае их отсутствия акт доводится до оператора заказным письмом. Если оператор не согласен с выводами или с выданным предписанием на устранение нарушений, он имеет право представить возражения с приложением документов, подтверждающих обоснованность его несогласия.

Чтобы успешно пройти проверку защиты индивидуальных данных контролирующими органами, целесообразно предварительно воспользоваться услугами сторонней организации, которая сможет квалифицированно оценить уровень защиты, выявить имеющиеся недочеты и проконсультировать о возможных вариантах их устранения.

Преимуществом подобных компаний является глубокое знание требований действующих законодательных актов и нормативных указаний, осведомленность о типичных недостатках самостоятельно разработанных систем защиты данных на предприятии и знание требований проверяющих служб.

Теги:

  • Digg
  • Del.icio.us
  • StumbleUpon
  • Reddit
  • Twitter
  • RSS

Оставить комментарий

Вы должны быть авторизованы, чтобы оставить комментарий.