Обработка персональных данных – важная и ответственная задача для организаций, осуществляющих данную деятельность. В России надзор за обработкой персональных данных осуществляется Федеральным службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Оператором персональных данных является любая организация или индивидуальный предприниматель, который самостоятельно или совместно с другими лицами определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с персональными данными.
Следующим важным аспектом надзора является правило о представлении оператором информации о наличии или отсутствии его представителя, уполномоченного на осуществление функций по обработке персональных данных. Также оператор должен указать адрес или место нахождения своего представителя.
Роскомнадзор осуществляет надзор за соблюдением законодательства о персональных данных и действующими правилами в этой сфере. Для этого проводятся различные мероприятия: проверки, выездные и внеплановые контрольные мероприятия, а также рассмотрение жалоб граждан и юридических лиц.
Инспекционный визит
Уполномоченный предъявляет должностным лицам и работникам контролируемого объекта удостоверение уполномоченного, выданное Роскомнадзором, и сообщает цель и основание проведения инспекционного визита.
Инспекционный визит может начинаться с обобщения информации о контролируемом объекте, его деятельности и способах обработки персональных данных. Руководство контролируемого объекта обязано предоставить уполномоченному информацию, документы и объяснения по требованию.
При проведении инспекционного визита, уполномоченный имеет право осуществлять контроль за соблюдением требований Федерального закона «О персональных данных» и других нормативных актов, относящихся к обработке персональных данных.
В ходе инспекционного визита уполномоченный может проверять образцы документов, полученных и обрабатываемых контролируемым объектом, а также ознакомиться с условиями обработки персональных данных и мерами, принимаемыми контролируемым объектом для защиты персональных данных.
При обнаружении нарушений законодательства об обработке персональных данных, уполномоченный вправе принять меры по приведению контролируемого объекта в соответствие с требованиями закона. В случае необходимости, уполномоченный может применить административные санкции.
Инспекционный визит также может включать в себя взаимодействие с представителями контролируемого объекта, обращениям к сотрудникам и рабочим, а также осмотр помещений и технических средств, используемых для обработки персональных данных.
В случае возникновения возражений или разногласий между уполномоченным и контролируемым объектом, порядок их разрешения определяется правоприменительной практикой и разработкой Роскомнадзора.
Инспекционный визит является важным инструментом контроля за обработкой персональных данных и позволяет выявлять потенциальные риски и последствия нарушения законодательства. Разветвленность и внутренняя структура инспекционного визита обеспечивают эффективность контроля и минимизацию рисков.
Выводы:
- Инспекционный визит — один из способов контроля за обработкой персональных данных.
- Уполномоченный имеет право проводить инспекционный визит для проверки соблюдения требований законодательства.
- В ходе инспекционного визита уполномоченный может проверять документы, образцы данных и условия обработки персональных данных.
- При обнаружении нарушений законодательства, уполномоченный может принимать меры по приведению контролируемого объекта в соответствие с требованиями закона.
- Инспекционный визит является важным инструментом для выявления рисков и последствий нарушения законодательства об обработке персональных данных.
Обязанности оператора по обработке персональных данных
Оператор по обработке персональных данных обязан соблюдать определенные правила и осуществлять определенные действия, чтобы обеспечить защиту персональных данных. В рамках своих обязанностей оператор должен:
1. Обеспечивать законность обработки персональных данных:
— Разрабатывать и принимать меры по обеспечению безопасности персональных данных;
— Предоставлять информацию о целях, способах и сроках обработки персональных данных;
— Получать письменное согласие субъекта персональных данных на их обработку;
— Обеспечивать уничтожение или обезличивание персональных данных после достижения целей их обработки.
2. Информировать субъектов персональных данных:
— Предоставлять субъектам персональных данных информацию о своей политике в отношении обработки персональных данных;
— Информировать субъектов о фактах нарушения их персональных данных;
— Предоставлять субъектам персональных данных возможность ознакомиться с обрабатываемыми данными и получить копии этих данных.
3. Сотрудничать с контролирующим органом:
— Предоставлять контролирующему органу информацию о своей деятельности по обработке персональных данных;
— Сотрудничать при проверке контролирующим органом;
— В случаях нарушения законодательства о персональных данных, принимать меры по устранению нарушений и компенсации ущерба субъектам персональных данных.
4. Реагировать на запросы и жалобы субъектов персональных данных:
— Принимать меры по рассмотрению жалобы субъекта персональных данных;
— Предоставлять субъектам персональных данных ответы на их запросы в течение установленного срока;
— Предоставлять субъектам персональных данных возможность подать жалобу в контролирующий орган.
Все эти обязанности оператора по обработке персональных данных установлены Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и Положением о порядке обработки и защиты персональных данных.
Права субъектов персональных данных
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» субъекты персональных данных имеют определенные права, которые они могут осуществлять в отношении своих персональных данных.
Право на получение информации
Субъекты персональных данных имеют право на получение информации о наличии и обработке их персональных данных. Они могут запрашивать такую информацию у контролируемых организаций или у Роскомнадзора. Запрос может быть предъявлен в письменной форме, в виде электронного документа или по телефону. Организации должны предоставить информацию в течение 30 дней с момента получения запроса.
Право на доступ к персональным данным
Субъекты персональных данных имеют право на доступ к своим персональным данным и получение копий оригиналов документов, содержащих их персональные данные. Они могут также запросить предоставление персональных данных в электронной форме. Организации должны предоставить доступ и копии в течение 10 дней с момента получения запроса.
Право на внесение изменений
Субъекты персональных данных имеют право на внесение изменений в свои персональные данные, если они являются неполными, неточными или устаревшими. Они также могут потребовать блокирования или уничтожения своих персональных данных, если они обработаны незаконно или являются ненужными для достижения целей обработки.
Право на защиту своих прав
Субъекты персональных данных имеют право на защиту своих прав в случае нарушения их прав при обработке персональных данных. Они могут обратиться в Роскомнадзор или в суд для защиты своих прав и получения возмещения ущерба. В случае нарушения прав субъектов персональных данных, Роскомнадзор может применить меры административного воздействия вплоть до наложения административного штрафа в размере до 20 процентов от оборота контролируемой организации.
Все документы и доказательства, представленные субъектом персональных данных или контролируемой организацией, должны быть представлены в оригинале или в виде нотариально заверенной копии. Также возможно представление документов в электронной форме, в том числе в виде скан-копий или видео-конференц-связи.
В случае предъявления предписания Роскомнадзора, контролируемая организация должна в течение 3 часов с момента получения предписания принять мотивированное решение о его выполнении или обжаловании. При несоблюдении предписания Роскомнадзор может применить меры административного воздействия.
| Права субъектов персональных данных | Способы осуществления прав |
|---|---|
| Право на получение информации | Запрос в письменной форме, электронном документе или по телефону |
| Право на доступ к персональным данным | Запрос на предоставление доступа и копий в письменной форме или электронном документе |
| Право на внесение изменений | Запрос на внесение изменений в письменной форме или электронном документе |
| Право на защиту своих прав | Обращение в Роскомнадзор или в суд |
Требования к защите персональных данных
Критерии надзорного контроля
Для осуществления надзора за обработкой персональных данных надзорный орган устанавливает следующие критерии:
| 1 | Соответствие деятельности организации-заявителя требованиям законодательства в области защиты персональных данных. |
| 2 | Соблюдение организацией-заявителем прав граждан на защиту своих персональных данных. |
| 3 | Наличие у организации-заявителя соответствующего уровня защиты персональных данных. |
Порядок рассмотрения жалобы
В случае возникновения жалобы на действия надзорного органа, гражданин или организация-заявитель может подать возражение, которое будет рассмотрено надзорным органом. При рассмотрении жалобы надзорный орган должен учесть все обстоятельства дела и принять соответствующее решение.
Обязанности инспекторов
Инспекторы надзорного органа имеют следующие обязанности:
- Проводить проверки организаций в целях выявления нарушений в области защиты персональных данных.
- Выездные проверки могут быть проведены в случае получения информации о нарушениях.
- Запросить у организации-заявителя необходимые документы и материалы для проведения проверки.
- Подготовить предписание о недопущении нарушений в области защиты персональных данных.
- Информировать организацию-заявителя о результатах проведенной проверки.
В случае выявления нарушений в области защиты персональных данных, инспекторы надзорного органа могут принять меры по привлечению нарушителя к ответственности, вплоть до уничтожения персональных данных.
Предостережения и предписание
При выявлении нарушений в области защиты персональных данных, надзорный орган может выдать предостережение или предписание, которое является обязательным для исполнения.
Предостережение предупреждает организацию-заявителя о необходимости устранения нарушений в определенный срок. Неисполнение предостережения может повлечь за собой применение мер административного или иного надзора.
Предписание надзорного органа указывает на конкретные нарушения и требует их немедленного устранения. Неисполнение предписания может повлечь за собой применение мер административного или иного надзора, вплоть до привлечения к уголовной ответственности.
Внутренняя и выездная проверка
Для проведения надзора надзорный орган может проводить внутренние и выездные проверки.
Внутренняя проверка проводится в офисе организации-заявителя и предусматривает осмотр документов, аудиозаписей и иных материалов, связанных с обработкой персональных данных.
Выездная проверка проводится на месте осуществления обработки персональных данных и может включать осмотр объектов, документарную и аудиозапись, а также получение иных доказательств.
