1. Как общаться с
регуляторами
Алексей Лукацкий
Бизнес-консультант по безопасности
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 1/65

2. Вопросы при общении с регуляторами
 Какие регуляторы меня могут проверить?
 Может ли меня проверить регулятор?
 Что может проверять регулятор?
 На основании чего меня может проверить регулятор?
 Как меня будет проверять регулятор?
 Когда меня будет проверять регулятор?
 Как часто меня может проверять регулятор?
…
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 2/65

3. Регуляторы в
области ПДн
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 3/65

4. Достаточность принятых мер
 Достаточность принятых мер по обеспечению
безопасности персональных данных при их
обработке в информационных системах
оценивается при проведении государственного
контроля и надзора
ст.3 Положения в ПП-781
 Контроль соблюдения прав субъектов ПДн
возложен на Роскомнадзор
 Контроль и надзор за выполнением требований к
обеспечению безопасности персональных данных
при их обработке в ИСПДн возлагается на ФСТЭК и
ФСБ
ст.19 ФЗ-152
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 4/65

5. Регуляторы: Роскомнадзор
• Рассматривает обращения субъектов
ПДн
• Проверка сведений в заявлении
• Требование изменение незаконно
полученных ПДн
РКН
• Принимать меры
• Обращаться в суд по факту
нарушения
• Направлять заявления о
приостановлении лицензии
• Привлекать к административной
ответственности
• Направлять в органы прокуратуры
материалы по нарушениям
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 5/65

6. Регуляторы: ФСТЭК
• Выработка требований
• Классификация ИСПДн
• Определение каналов
утечек
ФСТЭК
• Аттестация,
сертификация и
экспертиза
• Согласнование правил
пользования СЗИ
• Учет СЗИ
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 6/65

7. Регуляторы: ФСБ
• Выработка требований
• Классификация ИСПДн
• Определение каналов утечек
• Тематические исследования,
ФСБ
сертификация и экспертиза
• Согласование правил
пользование СЗИ
• Учет СЗИ
• Эксплуатация и услуги в
области шифрования
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 7/65

8. Может ли меня
проверить
регулятор
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 8/65

9. Генпрокуратора
 Приказ от 02.10.2009 №319 «О порядке
формирования ежегодного сводного плана
проведения органами государственного контроля
(надзора), муниципального контроля плановых
проверок в отношении юридических лиц и
индивидуальных предпринимателей»
Разработан в соответствие с ФЗ-294
 Ключевые моменты
План проверок подается регуляторами до 1 ноября
На сайте Генпрокуратуры сводный план публикуется до 31
декабря
Обязательно наличие административного регламента на
проверки
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 9/65

10. Что проверяет
регулятор?
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 10/65

11. Только обязательные требования
 В соответствие с ФЗ-294 и приказом
Генпрокуратуры надзорный орган имеет право
проверять выполнение только обязательных
требований
 Обязательные требования могут быть как
подлежащие регистрации в МинЮсте, так и не
подлежащие
Неподлежащие регистрации нормативные акты должны
иметь заключение МинЮста
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 11/65

12. Требования по защите ПДн
 Документы, которые устанавливает правовой статус
организаций
 Должны быть опубликованы в открытой печати
п.2 ст.4 ФЗ-152
п.17 Постановления Правительства №1009 от 13.08.1997 «Об
утверждении Правил подготовки нормативных правовых актов
федеральных органов исполнительной власти и их
государственной регистрации»
 Должны быть зарегистрирована в МинЮсте
п.10 Постановления Правительства №1009 от 13.08.1997
 Должны быть подписана только руководителем
п.9 Постановления Правительства №1009 от 13.08.1997
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 12/65

13. К чему это ведет?..
 Федеральные органы исполнительной власти
направляют для исполнения нормативные правовые
акты, подлежащие государственной регистрации,
только после их регистрации и официального
опубликования
 При нарушении указанных требований нормативные
правовые акты, как не вступившие в силу,
применяться не могут
п.19 Постановления Правительства №1009 от 13.08.1997
 Нелегитимность нормативно-правового акта
определяет только суд и МинЮст
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 13/65

14. О
коррупциогенности
нормативных актов
по ПДн
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 14/65

15. О коррупциогенности НПА
 Ни один из нормативно-правовых актов не может быть
утвержден без проверки по методике проведения
экспертизы проектов нормативных правовых актов и
иных документов в целях выявления в них положений,
способствующих созданию условий для проявления
коррупции
Постановление Правительства от 5 марта 2009 г. №196
Новые версии НПА должны будут пройти через нее
С непредвзятой точки зрения предыдущая версия требований
по защите ПДн обладали очень высоким уровнем для
проявления коррупции ;-(
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 15/65

16. О коррупциогенности НПА (продолжение)
 Факторы, связанные с реализацией полномочий
органа государственной власти
Установление неопределенных, трудновыполнимых и
обременительных требований к организациям
Отсутствие четкой регламентации прав организаций
Возможность необоснованного установления исключений из
общего порядка для организаций по усмотрению органов
власти
Установление общеобязательных правил поведения в
подзаконном акте в условиях отсутствия закона
Употребление неустоявшихся, двусмысленных терминов и
категорий оценочного характера
5 из 9 факторов!
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 16/65

17. О коррупциогенности НПА (продолжение)
 Факторы, связанные с правовыми пробелами
Отсутствие порядка совершения органами власти определенных
действий либо одного из элементов такого порядка
Отсутствие превентивных антикоррупционных норм
Отсутствие норм о юридической ответственности служащих, а
также норм об обжаловании их действий (бездействия) и
решений
Отсутствие норм, обеспечивающих возможность осуществления
контроля, в том числе общественного, за действиями органов
власти
Отсутствие норм, предусматривающих раскрытие информации о
деятельности органов власти и порядка получения информации
по запросам граждан и организаций
5 из 7 факторов
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 17/65

18. О коррупциогенности НПА (окончание)
 Факторы системного характера
Противоречия (нормативные коллизии), в том числе
внутренние, между нормами, создающие для органов власти
возможность произвольного выбора норм, подлежащих
применению в конкретном случае
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 18/65

19. К чему приводит
отсутствие
согласования
«обязательных»
требований с
МинЮстом
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 19/65

20. ПЭМИН: ФСТЭК против РКН
 Внеплановые проверки Роскомнадзора по
«радиочастотному» направлению
Департамент здравоохранения города Москвы
Управление архитектуры и градостроительства администрации
Ангарского муниципального образования
 Обнаружен факт эксплуатации генератора шума (для
защиты от ПЭМИН) без разрешения на использование
радиочастот или радиочастотных каналов и
свидетельства о регистрации радиоэлектронного
средства
Административная ответственность (по 13.4 КоАП)
Генератор шума отключен
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 20/65

21. ПЭМИН: ФСТЭК против РКН (продолжение)
 Разрешено использовать без оформления отдельных
решений ГКРЧ генераторы шума в диапазоне 0,1-1000
МГц
Решение ГКРЧ 05-10-03-001 от 28.11.2005 «О выделении
полосы радиочастот 0,1-1000 МГц для генераторов
радиошума, используемых в качестве средств защиты
информации»
Но потребуется регистрация генератора и получение
разрешения в ФАС на использование радиочастот в
диапазоне 0,1-1000 МГц
 Большинство генераторов шума «бьет» до 2 Ггц или
даже 10 ГГц
Частное решение ГКРЧ может получаться около года
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 21/65

22. ПЭМИН: ФСТЭК против РКН (продолжение)
 Без соответствующих решений ГКРЧ, Минобороны
России и ФСО России не допускается разработка,
модернизация, производство и применение РЭС и
ВЧУ, ввоз на территорию Российской Федерации РЭС
и ВЧУ, а также принятие технических регламентов,
национальных стандартов и правил применения,
касающихся вопросов использования полос
радиочастот РЭС и ВЧУ
«Положение о порядке рассмотрения материалов, проведения
экспертизы и принятия решения о выделении полос
радиочастот для радиоэлектронных средств и
высокочастотных устройств», утвержденное решением ГКРЧ
от 17.11.2007 № 07-22-03-001
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 22/65

23. ПЭМИН: ФСТЭК против РКН (продолжение)
 …ГКРЧ является органом исполнительной власти, а
ее решения в качестве межведомственного
координационного органа, действующего при
Мининформсвязи, приобретают обязательный
характер постольку, поскольку утверждаются данным
полномочным федеральным органом исполнительной
власти в области связи либо согласованным
решением этого органа и других заинтересованных
федеральных органов исполнительной власти
п.2.4 постановления Конституционного суда Российской
Федерации от 28.02.2006 № 2-П
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 23/65

24. ПЭМИН: ФСТЭК против РКН (окончание)
 Наличие сертификата ФСТЭК является необходимым,
но недостаточным условием для эксплуатации
генератора шума
Данная ситуация сложилась в результате некорректных
действий руководства ФСТЭК России, убедившего
производителей ГРШ в возможности производства ГРШ,
использующих радиочастоты в диапазоне 0,1-2000 МГц, без
соответствующего решения ГКРЧ
Более того ФСТЭК России были выданы сертификаты
соответствия на ГРШ такого типа без учета требований
нормативных правовых актов в сфере связи
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 24/65

25. ПЭМИН и приказ №58
 В «первой» версии документов ФСТЭК для типовых
ИСПДн 1-го и 2-го классов борьбы с ПЭМИН была
обязательной
 В приказе №58 это требование стало
необязательным
Борьбы с ПЭМИН зависит от модели угроз
Решение принимается оператором ПДн
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 25/65

26. На основании чего
меня проверяет
регулятор?
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 26/65

27. Административные регламенты
 Надзорный орган обязан разработать и утвердить в
МинЮсте административный регламент
проведения проверок в области ПДн
 На сегодняшний день такой регламент есть только
у Роскомнадзора
Утвержден приказом от 01.12.2009 № 630 (прошел
регистрацию в МинЮсте)
У ФСБ есть «Типовой регламент проведения в пределах
полномочий мероприятий по контролю (надзору) за
выполнением требований, установленных Правительством
Российской Федерации, к обеспечению безопасности
персональных данных при их обработке в
информационных системах персональных данных»
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 27/65

28. Контроль и надзор
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 28/65

29. Общее о проверках
 РКН, ФСТЭК и ФСБ не имеют опыта проведения
проверок по линии персональных данных и учатся
на операторах ПДн, постепенно набирая опыт
 РКН проверяет соответствие требования ФЗ-152,
забывая про Европейскую Конвенцию
 ФСТЭК и ФСБ проверяют соответствие
собственным требованиям, не всегда легитимным
 Проверяющие не всегда юридически подкованы
 Все ждут 01.01.2011, когда ФЗ-152 вступит в
полную силу
Правда, «неожиданно» вступилв силу и ФЗ-294 ;-)
 Все надзорные органы в РФ зависимы, в отличие от
Европы
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 29/65

30. Контроль со стороны ФСТЭК / ФСБ
 Контроль со стороны ФСТЭК
Проверки на данный момент носят эпизодический характер
Преимущественно государственные и муниципальные
структуры
Существующий общий административный регламент ФСТЭК
разрешает проверять только лицензиатов
Основание для проверок – СТР-К и т.п.
 Контроль со стороны ФСБ
Преимущественно касается наличия лицензий на
деятельность в области шифрования
10+ уголовных дел по ст.171 УК РФ (Незаконное
предпринимательство) против московских банков с конца
2008 года
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 30/65

31. Проверки ФСТЭК
 Результаты анализа 80 тысяч ИСПДн
отсутствие требований по технической защите персональных
данных в ТЗ и проектной документации
незавершенность классификации ИСПДн или ее ошибочность
невыполнение работ по анализу угроз информационной
безопасности
незавершенность разработки необходимого комплекта
организационно-распорядительной документации
отсутствие документов, регламентирующих порядок передачи
персональных данных третьим лицам
отсутствие необходимых мер и сервисов защиты информации
использование несертифицированных СЗИ
невыполнение работ по аттестации ИСПДн
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 31/65

32. Проверки ФСТЭК
 Результаты анализа 80 тысяч ИСПДн
непринятие мер по учету машинных носителей
отсутствие в должностных регламентах ответственных лиц за
защиту персональных данных и их полномочий по контролю
за выполнением требований по защите
отсутствие достаточного количества квалифицированных
специалистов
 Достоверность данных проверок вызывает вопросы
Число проверенных ИСПДн существенно превышает число
проверок РКН при полном отсутствии информации о первых
Низкая достоверность представленных данных не говорит о
«нереальности» обнаруженных недочетов
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 32/65

33. Проверки ФСБ
 В полной мере работы по контролю и надзору будут
начаты с января 2011 года
 Порядок проведения проверок, ограничения в
отношении должностных лиц, осуществляющих
проверку, а также программа проведения работ по
контролю и надзору, определяются подготовленным
8 Центром ФСБ России «Типовым регламентом
проведения в пределах полномочий мероприятий по
контролю (надзору) за выполнением требований,
установленных Правительством Российской
Федерации…»
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 33/65

34. Проверки ФСБ (окончание)
 Выбор объектов проверок осуществляется на
основании информации, представленной
Роскомнадзором
 Обычно нарушений по линии ФСБ нет, исключая
Использование средств криптозащиты, отличающихся от
эталонных сертифицированных версий
Невыполнение отдельных требований по порядку
эксплуатации криптосредств, предусмотренных технической
документацией
Несовершенство отдельных подготовленных оператором
документов, регламентирующих вопросы обеспечения
безопасности в конкретной организации
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 34/65

35. Права Роскомнадзора по надзору
 ПП-419 в части контроля и надзора ПДн отсылает нас
к ФЗ-152
ПП является подзаконным актом и не должен противоречит ФЗ
 Ст.23 ФЗ-152 – это частная норма права, а ФЗ-294 –
общая
ПП-419 ФЗ-152 ФЗ-294
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 35/65

36. Планируемые изменения
 Появление новых оснований для плановых и
внеплановых проверок
 Утверждение регламентов осуществления проверок
Как ведомственных, так и совместных
 Уведомление РКН о принимаемых мерах по защите
 Передача сведений об используемых средствах
защиты из РКН в ФСБ и ФСТЭК
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 36/65

37. Требования ФЗ-
294
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 37/65

38. Государственный контроль и надзор
 Любая проверка со стороны регулятора должна
проводиться в строгом соответствии с ФЗ от
26.12.2008 №294 «О защите прав юридических лиц и
индивидуальных предпринимателей при проведении
государственного и муниципального контроля
(надзора)»
Если другие нормативные акты не сужают область действия
надзорного органа
Предыдущий ФЗ-134 прекращает свое действие с 01.07.2009 г.
Отдельные положения ФЗ-294 вступают в силу с 01.01.2010
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 38/65

39. В будущем могут быть сюрпризы
 Особенности организации и проведения проверок при
осуществлении… лицензионного контроля,…
контроля и государственного надзора в области связи,
контроля в области обращения и защиты
информации… в части, касающейся вида, предмета,
оснований проверок и сроков их проведения, могут
устанавливаться другими федеральными законами
Аналогичная норма есть в ст.5 ФЗ-184 «О техническом
регулировании» - появляется возможность выпуска иных
нормативных актов, требования которых противоречат ФЗ-294
Однако в ФЗ-294 такие исключения разрешены только на
уровне федерального закона – в защите ПДн таких
исключений в данный момент нет
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 39/65

40. Государственный контроль и надзор
 Принципы контроля и надзора
Презумпция добросовестности
Открытость и доступность для юридических лиц и
индивидуальных предпринимателей нормативных правовых
актов, устанавливающих обязательные требования,
выполнение которых проверяется при проведении
государственного контроля (надзора)
Проведение проверок в соответствии с полномочиями органа
государственного контроля (надзора)
Недопустимость проводимых в отношении одного
юридического лица несколькими органами государственного
контроля (надзора) проверок исполнения одних и тех же
обязательных требований
Недопустимость взимания органами государственного
контроля (надзора) с юридических лиц платы за проведение
мероприятий по контролю
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 40/65

41. Государственный контроль и надзор
 Особенности контроля и надзора
.Для проверки нужно основании, которое выражается в виде
распоряжения (приказа), в котором среди прочего упомянуты -
цели, задачи и предмет проверки и правовые основания
проведения проверки
Нормативные правовые акты, принятые органами
государственного контроля (надзора) в нарушение
законодательства Российской Федерации, признаются
недействительными полностью или частично в порядке,
установленном законодательством Российской Федерации
Орган контроля не имеет права проверять исполнение
обязательных требований, которые не относятся к сфере его
компетенции
Все проверки делятся на документарные и (или) выездные.
Документарные проверки проводятся в первую очередь
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 41/65

42. Программа проверок РКН
 К приказу о проведении проверки в форме
приложения составляется программа (план) проверки
 Программа составляется в произвольной форме
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 42/65

43. Государственный контроль и надзор
 Процедура проверки
Уведомление о плановой проверке не позднее чем в течение
трех рабочих дней до начала ее проведения в виде заказного
письма с уведомлением или иным доступным способом
Уведомление о внеплановой проверке не менее чем за
двадцать четыре часа до начала ее проведения любым
доступным способом
Если в результате деятельности юридического лица причинен
или причиняется вред … предварительное уведомление
юридических лиц о начале проведения внеплановой выездной
проверки не требуется
Акт проверки должен составлять сразу после ее завершения
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 43/65

44. Государственный контроль и надзор
 Плановые проверки
Предметом плановой проверки является соблюдение
юридическим лицом в процессе осуществления деятельности
обязательных требований
Плановое мероприятие по контролю может быть проведено не
более чем один раз в три года (кроме образования,
здравоохранения и социалки – можно чаще)
План проверок должен быть размещен на сайте
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 44/65

45. Государственный контроль и надзор
 Основание для плановой проверки
Регистрация юридического лица
Истечение 3-х лет с последней проверки
Начало осуществления предпринимательской деятельности
согласно уведомления
 В административном регламенте РКН предусмотрено
еще 2 основания
Осуществление оператором ПДн деятельности по обработке
персональных данных
Истечение 3-х лет с момента государственной регистрации
оператора ПДн
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 45/65

46. Государственный контроль и надзор
 Предмет внеплановой проверки
Предметом внеплановой проверки является соблюдение
юридическим лицом обязательных требований, выполнение
предписаний органов государственного контроля (надзора),
проведение мероприятий по предотвращению причинения
вреда жизни, здоровью граждан, вреда животным, растениям,
окружающей среде, по обеспечению безопасности
государства, по предупреждению возникновения
чрезвычайных ситуаций природного и техногенного характера,
по ликвидации последствий причинения такого вреда
Защита прав субъектов ПДн, а также выполнения требований
по обеспечению безопасности ПДн не подпадают ни под одно
из данных определений
Также считает и сам РКН (из выступления на
парламентских слушаниях)
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 46/65

47. Государственный контроль и надзор
 Основания для внеплановых проверок
Истечение срока исполнения юридическим лицом ранее
выданного предписания об устранении выявленного
нарушения обязательных требований
Поступление в органы государственного контроля (надзора)
обращений и заявлений граждан, юридических лиц,
индивидуальных предпринимателей, информации от органов
государственной власти, органов местного самоуправления,
из средств массовой информации о фактах возникновения
угрозы или причинения вреда жизни, здоровью граждан, вреда
животным, растениям, окружающей среде, безопасности
государства, а также угрозы чрезвычайных ситуаций
природного и техногенного характера
Обращения, не позволяющие установить лицо, обратившееся в
орган надзора, не могут служить основанием для проведения
внепланового мероприятия по контролю
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 47/65

48. Государственный контроль и надзор
(окончание по основания для внеплановых проверок)
 Основания для внеплановых проверок
нарушение прав потребителей (в случае обращения граждан,
права которых нарушены)
 В административном регламенте РКН предусмотрено
еще 2 основания - поступление в РКН обращений и
заявлений о следующих фактах
нарушение прав и законных интересов граждан действиями
(бездействием) операторов при обработке их ПДн
нарушение операторами ПДн требований ФЗ-152 и иных
нормативных правовых актов в области ПДн, а также о
несоответствии сведений, содержащихся в уведомлении об
обработке ПДн, фактической деятельности
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 48/65

49. О правах потребителя
 Вспомним: основание для внеплановых проверок
нарушение прав потребителей (в случае обращения граждан,
права которых нарушены)
 Надзором в сфере защиты прав потребителей
занимается Федеральная служба по надзору в сфере
защиты прав потребителей и благополучия человека
(Роспотребнадзор)
По ФЗ-294 несколько органов по контролю не могут проверять
одни и те же обязательные требования
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 49/65

50. Кто такой потребитель?
 Потребитель - гражданин, имеющий намерение
заказать или приобрести либо заказывающий,
приобретающий или использующий товары (работы,
услуги) исключительно для личных, семейных,
домашних и иных нужд, не связанных с
осуществлением предпринимательской деятельности
ФЗ "О защите прав потребителей
 Клиент и сотрудник банка. Кто из них двоих является
потребителем?
Клиент, но не сотрудник ;-(
 Нарушение прав субъекта ПДн не является
нарушением прав потребителя (?)
Субъект ПДн в данном случае ничего не потребляет
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 50/65

51. Государственный контроль и надзор
 Согласование проверок
Внеплановые проверки тоже надо согласовывать с
прокуратурой до проверки и только когда существует угроза
причинения вреда
Внеплановую проверку можно начать без предварительного
согласования, но только при условии уже нанесенного вреда
(и с последующим уведомлением в течение 24 часов). При
этом прокуратура в течение суток определяет законность
внеплановой проверки
План проверок должен быть представлен в прокуратуру для
составления сводного плана до 1 ноября. Отсутствие
правовых оснований для проверки приведет к отказу
прокураторы в ее проведении
Прокуратура согласовывает только выездные, не
документарные проверки
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 51/65

52. Государственный контроль и надзор
 Документарная проверка
Предметом документарной проверки являются сведения,
содержащиеся в документах юридического лица
устанавливающих их организационно-правовую форму, права
и обязанности, документы, используемые при осуществлении
их деятельности и связанные с исполнением ими
обязательных требований, исполнением предписаний и
постановлений органов государственного контроля (надзора)
В случае, если достоверность сведений вызывает
обоснованные сомнения либо эти сведения не позволяют
оценить исполнение юридическим лицом обязательных
требований орган государственного контроля (надзора)
направляют в адрес юридического лицамотивированный
запрос с требованием представить иные необходимые для
рассмотрения в ходе проведения документарной проверки
документы
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 52/65

53. Государственный контроль и надзор
(окончание по документарным проверкам)
 Документарная проверка
При проведении документарной проверки орган
государственного контроля (надзора) не вправе требовать у
юридического лица сведения и документы, не относящиеся к
предмету документарной проверки
 Выездная проверка
Выездная проверка проводится в случае, если при
документарной проверке не представляется возможным
удостовериться в полноте и достоверности сведений или
оценить соответствие деятельности юридического лица
обязательным требованиям без проведения
соответствующего мероприятия по контролю
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 53/65

54. Государственный контроль и надзор
 Продолжительность проверок
Продолжительность мероприятия по контролю не должна
превышать 20 дней. Для малого предприятия – 50 часов
В исключительных случаях, связанных с необходимостью
проведения специальных исследований (испытаний),
экспертиз со значительным объемом мероприятий по
контролю, на основании мотивированного предложения
должностного лица, осуществляющего мероприятие по
контролю, руководителем органа государственного контроля
(надзора) или его заместителем срок проведения проверок
может быть продлен, но не более чем на 20 дней (15 часов
для SMB)
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 54/65

55. Блок-схема проверок РКН
Утверждение приказа Службы о проведении
проверки за соответствием обработки
персональных данных требованиям
законодательства Российской Федерации в
области персональных данных
Документарная Выездная
Изучение документов Выезд по местонахождению
Оператора, имеющихся в Оператора
распоряжении Службы
Предъявление служебного
Оформление и направление удостоверения, ознакомление
мотивированного запроса в представителей Оператора с
адрес Оператора с приказом о проведении
приложением перечня проверки, целями, задачами,
запрашиваемых документов основаниями выездной
проверки, видами и объемом
мероприятий по контролю, со
Изучение полученных Принятие решения сроками и условиями ее
документов Оператора о выездной проведения
проверке
Проведение мероприятий по
контролю
Завершение проверки
Завершение проверки
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 55/65

56. Чем завершается проверка
 Акт проверки
 Предписание об устранении выявленных нарушений
 Составлением протокола об административном
правонарушении
 Подготовка и направление материалов проверки в
органы прокуратуры, другие правоохранительные
органы для решения вопроса о возбуждении дела об
административном правонарушении, о возбуждении
уголовного дела по признакам правонарушений
(преступлений), связанных с нарушением прав
субъектов персональных данных, в соответствии с
подведомственностью
Проект административного регламента РКН
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 56/65

57. Предписание об устранении РКН
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 57/65

58. Блок-схема оформления проверки РКН
Составление должностными лицами Службы акта проверки
Оператора
Нарушения не Нарушения
выявлены выявлены
Ознакомление представителя
Ознакомление представителя Оператора с содержанием акта
Оператора с содержанием акта проверки
проверки
Должностные лица Службы, а также
представители Оператора, не согласные с Подписание акта должностными
Подписание акта должностными лицами Службы
лицами Службы принятыми решениями, излагают в письменной
форме особое мнение, которое прилагается к
акту проверки
Вручение экземпляра акта
Вручение экземпляра акта проверки с проверки с копиями приложений
копиями приложений представителю представителю Оператора или
Оператора или направление по почте направление по почте с
с уведомлением о вручении уведомлением о вручении
Выдача предписания об
Выявление в ходе или по результатам проверки устранении выявленного
В рамках компетенции Службы административного правонарушения или нарушения и осуществление
уголовно наказуемого деяния контроля за его исполнением
Вне компетенции
Направление протокола об Материалы проверки направляются в органы Службы
административном правонарушении
прокуратуры, другие правоохранительные органы для
с материалами проверки на
рассмотрение в суд разрешения вопроса о возбуждении дела об
административном правонарушении, о возбуждении
уголовных дел по признакам правонарушений
(преступлений), связанных с нарушением прав
субъектов персональных данных, в соответствии с
Personal Data © 2008 Cisco Systems, Inc. All rights reserved.
подследственностью 58/65

59. Тайна результатов проверки
 Орган контроля не вправе распространять
информацию, полученную в результате проведения
проверки и составляющую государственную,
коммерческую, служебную, иную охраняемую законом
тайну, за исключением случаев, предусмотренных
законодательством Российской Федерации
Если результаты проверок включить в перечень служебной или
коммерческой тайны, то РКН не сможет сообщать о фактах
нарушения ФЗ на своем сайте или в прессе
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 59/65

60. Если вы не согласны
 Юридическое лицо в случае несогласия с фактами,
выводами, предложениями, изложенными в акте
проверки, либо с выданным предписанием об
устранении выявленных нарушений в течение
пятнадцати дней с даты получения акта проверки
вправе представить в соответствующие орган
государственного контроля (надзора) в письменной
форме возражения в отношении акта проверки и (или)
выданного предписания об устранении выявленных
нарушений в целом или его отдельных положений.
При этом юридическое лицо вправе приложить к
таким возражениям документы, подтверждающие
обоснованность таких возражений
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 60/65

61. Если вы не согласны (окончание)
 Объединения юридических лиц вправе обращаться в
органы прокуратуры с просьбой принести протест на
противоречащие закону нормативные правовые акты,
на основании которых проводятся проверки
юридических лиц, индивидуальных предпринимателей
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 61/65

62. Блок-схема обжалования проверки РКН
Обжалование Оператором действий
(бездействия) должностных лиц Службы или
ее территориального органа при проведении
проверки
Продление срока рассмотрения Рассмотрение обращения
обращения Оператора, но не более Оператора в течении 30 дней
30 дней.
В случае подтверждения
фактов, изложенных
обращении Оператора
Проводится служебная
проверка по итогам которой, в
отношении должностных лиц Направление ответа
Службы или ее Оператору по
территориального органа, результатам
принимаются меры рассмотрения его
дисциплинарного характера обращения
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 62/65

63. Пример: опротестование мнения РКН
 Хабаровский край
Роскомнадзор без согласования с прокуратурой провел
внеплановую выездную проверку небольшой организации по
факту нарушения прав субъекта ПДн
Мотивация РКН - защита прав потребителей
Прокуратора посчитала такой мотив некорректным
В действиях Роскомнадзора было выявлено нарушение
законодательства
 По сути – небольшая организация действительно
нарушила права субъекта ПДн
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 63/65

64. Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410
Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 64/65

65. Personal Data © 2008 Cisco Systems, Inc. All rights reserved. 65/65