Результаты работы комиссии по проведению проверки условий обработки персональных данных оформляются

Обновлено: 19.05.2024

В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243; 2016, N 27, ст. 4164; 2017, N 9, ст. 1276; N 27, ст. 3945; N 31, ст. 4772; 2018, N 1, ст. 82) и подпунктом "б" пункта 1 перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626; 2013, N 30, ст. 4116; 2014, N 37, ст. 4967), приказываю:

1. Утвердить прилагаемые Правила осуществления в Федеральной службе по надзору в сфере образования и науки внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Федеральной службы по надзору в сфере образования и науки.

2. Контроль за исполнением настоящего приказа возложить на заместителя руководителя С.М. Кочетову.

приказом Федеральной службы

по надзору в сфере

образования и науки

от 01.03.2019 N 214

ОСУЩЕСТВЛЕНИЯ В ФЕДЕРАЛЬНОЙ СЛУЖБЕ ПО НАДЗОРУ В СФЕРЕ

ОБРАЗОВАНИЯ И НАУКИ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ

ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ

ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ

ОТ 27 ИЮЛЯ 2006 Г. N 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ",

ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ

АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ФЕДЕРАЛЬНОЙ СЛУЖБЫ

ПО НАДЗОРУ В СФЕРЕ ОБРАЗОВАНИЯ И НАУКИ

1. Правилами осуществления в Федеральной службе по надзору в сфере образования и науки внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Федеральной службы по надзору в сфере образования и науки (далее соответственно - Правила, внутренний контроль), определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок и формы проведения внутреннего контроля.

2. В целях осуществления внутреннего контроля в Рособрнадзоре организовывается проведение плановых и внеплановых проверок условий обработки персональных данных на предмет соответствия Федеральному закону от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243; 2016, N 27, ст. 4164; 2017, N 9, ст. 1276; N 27, ст. 3945; N 31, ст. 4772; 2018, N 1, ст. 82) (далее - Федеральный закон "О персональных данных") и принятым в соответствии с ним нормативным правовым актам и локальным актам Федеральной службы по надзору в сфере образования и науки (далее - проверки).

3. Проверки осуществляются комиссией по организации обработки и защиты персональных данных Рособрнадзора, образуемой руководителем Рособрнадзора (далее - комиссия).

Состав комиссии утверждается распорядительным актом Рособрнадзора. В состав комиссии входят лицо, ответственное за организацию обработки персональных данных, и федеральные государственные гражданские служащие Рособрнадзора, уполномоченные на обработку персональных данных.

В проведении проверки не может участвовать федеральный государственный гражданский служащий Рособрнадзора, прямо или косвенно заинтересованный в ее результатах.

4. Основанием для проведения внеплановой проверки является поступившее в Рособрнадзор письменное обращение субъекта персональных данных или его законного представителя о нарушении правил обработки персональных данных.

5. Плановые проверки проводятся в Рособрнадзоре на основании ежегодного плана проверок не реже одного раза в год, а внеплановые проверки - по решению руководителя Рособрнадзора на основании поступившего в Рособрнадзор письменного заявления о нарушениях правил обработки персональных данных.

Решение о проведении проверки оформляется распорядительным актом Рособрнадзора.

Ежегодный план проверок разрабатывается комиссией и утверждается руководителем Рособрнадзора.

6. В ежегодном плане проверок по каждой проверке указывается объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.

7. Проведение внеплановой проверки организуется в течение 5 рабочих дней с момента поступления обращения, указанного в пункте 4 настоящих Правил.

8. Срок проведения проверки не может превышать один месяц со дня принятия решения о ее проведении.

9. Члены комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.

10. Результаты проверки оформляются в виде справки.

11. При выявлении в ходе проверки нарушений в справке отражается перечень мероприятий по устранению выявленных нарушений и сроки их устранения.

12. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, комиссия докладывает руководителю Рособрнадзора.

В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243; 2016, N 27, ст. 4164; 2017, N 9, ст. 1276; N 27, ст. 3945; N 31, ст. 4772; 2018, N 1, ст. 82) и подпунктом "б" пункта 1 перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626; 2013, N 30, ст. 4116; 2014, N 37, ст. 4967), приказываю:

1. Утвердить прилагаемые Правила осуществления в Федеральной службе по надзору в сфере образования и науки внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Федеральной службы по надзору в сфере образования и науки.

2. Контроль за исполнением настоящего приказа возложить на заместителя руководителя С.М. Кочетову.

приказом Федеральной службы

по надзору в сфере

образования и науки

от 01.03.2019 N 214

ОСУЩЕСТВЛЕНИЯ В ФЕДЕРАЛЬНОЙ СЛУЖБЕ ПО НАДЗОРУ В СФЕРЕ

ОБРАЗОВАНИЯ И НАУКИ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ

ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ

ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ

ОТ 27 ИЮЛЯ 2006 Г. N 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ",

ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ

АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ФЕДЕРАЛЬНОЙ СЛУЖБЫ

ПО НАДЗОРУ В СФЕРЕ ОБРАЗОВАНИЯ И НАУКИ

1. Правилами осуществления в Федеральной службе по надзору в сфере образования и науки внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Федеральной службы по надзору в сфере образования и науки (далее соответственно - Правила, внутренний контроль), определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок и формы проведения внутреннего контроля.

2. В целях осуществления внутреннего контроля в Рособрнадзоре организовывается проведение плановых и внеплановых проверок условий обработки персональных данных на предмет соответствия Федеральному закону от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243; 2016, N 27, ст. 4164; 2017, N 9, ст. 1276; N 27, ст. 3945; N 31, ст. 4772; 2018, N 1, ст. 82) (далее - Федеральный закон "О персональных данных") и принятым в соответствии с ним нормативным правовым актам и локальным актам Федеральной службы по надзору в сфере образования и науки (далее - проверки).

3. Проверки осуществляются комиссией по организации обработки и защиты персональных данных Рособрнадзора, образуемой руководителем Рособрнадзора (далее - комиссия).

Состав комиссии утверждается распорядительным актом Рособрнадзора. В состав комиссии входят лицо, ответственное за организацию обработки персональных данных, и федеральные государственные гражданские служащие Рособрнадзора, уполномоченные на обработку персональных данных.

В проведении проверки не может участвовать федеральный государственный гражданский служащий Рособрнадзора, прямо или косвенно заинтересованный в ее результатах.

4. Основанием для проведения внеплановой проверки является поступившее в Рособрнадзор письменное обращение субъекта персональных данных или его законного представителя о нарушении правил обработки персональных данных.

5. Плановые проверки проводятся в Рособрнадзоре на основании ежегодного плана проверок не реже одного раза в год, а внеплановые проверки - по решению руководителя Рособрнадзора на основании поступившего в Рособрнадзор письменного заявления о нарушениях правил обработки персональных данных.

Решение о проведении проверки оформляется распорядительным актом Рособрнадзора.

Ежегодный план проверок разрабатывается комиссией и утверждается руководителем Рособрнадзора.

6. В ежегодном плане проверок по каждой проверке указывается объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.

7. Проведение внеплановой проверки организуется в течение 5 рабочих дней с момента поступления обращения, указанного в пункте 4 настоящих Правил.

8. Срок проведения проверки не может превышать один месяц со дня принятия решения о ее проведении.

9. Члены комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.

10. Результаты проверки оформляются в виде справки.

11. При выявлении в ходе проверки нарушений в справке отражается перечень мероприятий по устранению выявленных нарушений и сроки их устранения.

12. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, комиссия докладывает руководителю Рособрнадзора.

Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами:

а) назначают ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа государственных или муниципальных служащих (далее - служащие) данного органа;

б) утверждают актом руководителя государственного или муниципального органа следующие документы:

- правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

- правила рассмотрения запросов субъектов персональных данных или их представителей;

- правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;

- правила работы с обезличенными данными в случае обезличивания персональных данных;

- перечень информационных систем персональных данных;

- перечни персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;

- перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных;

- перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

- должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе;

- типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;

- типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

- порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных;

в) при эксплуатации информационных систем персональных данных в случае, если государственный или муниципальный орган является оператором таких информационных систем, принимают правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, предусмотренные соответствующими нормативными правовыми актами, для выполнения установленных Правительством Российской Федерации требований к защите персональных данных при их обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

г) при обработке персональных данных, осуществляемой без использования средств автоматизации, выполняют требования, установленные постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

д) в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуют проведение периодических проверок условий обработки персональных данных в государственном или муниципальном органе. Проверки осуществляются ответственным за организацию обработки персональных данных в государственном или муниципальном органе либо комиссией, образуемой руководителем государственного или муниципального органа. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю государственного или муниципального органа докладывает ответственный за организацию обработки персональных данных в государственном или муниципальном органе либо председатель комиссии;

е) осуществляют ознакомление служащих государственного или муниципального органа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих;

ж) уведомляют уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных, за исключением случаев, установленных Федеральным законом "О персональных данных";

з) в случаях, установленных нормативными правовыми актами Российской Федерации, в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.

Шаблон приказа об организации работы с персональными данными согласно постановлению Правительства РФ от 21.03.2012 № 211

Руководитель И.Ю. Артемьев

Приложение
к приказу ФАС России
от 17.08.2012 № 533

Правила осуществления в центральном аппарате Федеральной антимонопольной службы внутреннего контроля соответствия обработки персональных данных требованиям к защите
персональных данных

1. Настоящие Правила определяют порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, последовательность действий.
2. Внутренний контроль соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных в ФАС России осуществляется путем проведения проверки не реже одного раза в год.
3. Для проведения внутреннего контроля соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (далее – внутренний контроль) приказом Федеральной антимонопольной службы образуется Комиссия Федеральной антимонопольной службы по проведению внутреннего контроля соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
4. В состав Комиссии включаются уполномоченные руководителем ФАС России государственные гражданские служащие, в том числе из Управления государственной службы, Правового управления, Административного управления, Управления информационных технологий, Управления делами.
5. Комиссия состоит из председателя и членов Комиссии. Все члены Комиссии при принятии решений обладают равными правами.
6. Обращения и заявления, не позволяющие установить лицо, обратившееся в ФАС России, а также обращения и заявления, не содержащие сведений о фактах нарушения законодательства Российской Федерации в области персональных данных, не могут служить основанием для проведения проверки.
7. Комиссия при проведении проверки вправе в пределах своей компетенции:
- выдавать обязательные для выполнения предписания государственным гражданским служащим, организующим и (или) осуществляющим обработку персональных данных (далее – операторы) об устранении выявленных нарушений в области персональных данных;
- запрашивать и получать необходимые документы (сведения) для достижения целей проведения внутреннего контроля;
- получать доступ к информационным системам персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации в области персональных данных;
- требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.
8. Члены Комиссии при проведении проверки обязаны:
- своевременно и в полной мере исполнять предоставленные в соответствии с законодательством Российской Федерации полномочия по предупреждению, выявлению и пресечению нарушений требований в области персональных данных.
- соблюдать законодательство Российской Федерации, права и законные интересы оператора, проверка которого проводится.
- учитывать при определении мер, принимаемых по фактам выявленных нарушений, соответствие указанных мер тяжести нарушений, а также не допускать необоснованное ограничение прав и законных интересов оператора.
9. При проведении проверки члены Комиссии не вправе:
- требовать представления документов и информации которые не относятся к предмету проверки;
- распространять информацию, полученную в результате проведения проверки и составляющую государственную, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством Российской Федерации.
10. Оператор должен обеспечить необходимые условия для проведения проверки и обязан организовать доступ к оборудованию, в помещения, где осуществляется обработка персональных данных, предоставить необходимую информацию и документацию для достижения целей проверки.
11. Оператор при проведении проверки имеет право: непосредственно присутствовать при проведении проверки, давать объяснения по вопросам, относящимся к предмету проверки, знакомиться с результатами проверки.
12. По результатам проверки составляется акт проверки, который подписывается членами комиссии и представляется руководителю ФАС России для принятия соответствующего решения.
В акте отражаются сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований законодательства Российской Федерации в области персональных данных, об их характере и о лицах, допустивших указанные нарушения.
Акт должен содержать одно из следующих заключений:
- об отсутствии в деятельности оператора нарушений требований законодательства Российской Федерации в области персональных данных.
- о выявленных в деятельности оператора нарушениях требований законодательства Российской Федерации в области персональных данных, с указанием конкретных статей и (или) пунктов нормативных правовых актов Российской Федерации.

Читайте также:

  
• Зуп компенсация за неиспользованный отпуск при увольнении
  
• Сколько мрот зарплата депутата
  
• Как устроиться на работу в якиторию
  
• Что запрещается работнику во время работы иотв 041
  
• Слесарь по строительно монтажным работам что за профессия