четверг, 29 сентября 2016 г.

Правила осуществления в Росстате внутреннего контроля соответствия обработки персональных данных требованиям законодательства


Приказом Росстата от 5 сентября 2016 г. № 480 утверждены «Правила осуществления в Федеральной службе государственной статистики и ее территориальных органах внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Федеральной службы государственной статистики», которые вступили в силу 25 сентября 2016 года.

В целях осуществления внутреннего контроля соответствия обработки персональных данных (ПДн) требованиям к их защите, в Росстате и ее территориальных органах организовывается проведение плановых и внеплановых проверок условий обработки ПДн на предмет соответствия федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами службы (п.2).

Проверки проводятся на основании ежегодного плана или поступившего в Росстат письменного заявления субъекта персональных данных или его представителя о фактах нарушения правил обработки ПДн (внеплановые проверки).

Ежегодный план проверок разрабатывается и утверждается комиссией по организации обработки и защиты ПДн службы в Росстате и в ее территориальных органах (п.3), по каждой проверке устанавливается объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные должностные лица (п.4).

Основанием для проведения внеплановой проверки является поступившее в Росстат письменное обращение заявителя, содержащее информацию о фактах нарушения правил обработки ПДн (п.6), которая организуется в течение 5 рабочих дней со дня регистрации обращения (п.7), ее срок проведения не может превышать месяц со дня принятия решения о ней (п.8).

Члены Комиссии, получившие доступ к персональным данным в ходе проведения проверки, обеспечивают их конфиденциальность, не раскрывают третьим лицам и не распространяют их без согласия субъекта ПДн (п.9).

По результатам каждой проверки комиссиями проводится заседание, решения оформляются протоколом (п.10).

В течение 5 рабочих дней со дня окончания внеплановой проверки комиссия дает письменный ответ заявителю по поставленным в его обращении вопросам (п.11).

Мой комментарий: В документе описаны лишь организационные меры, и ничего не сказано о содержательной части работы комиссий. С моей точки зрения, наличие планов проведения контроля, заседания комиссий и их протоколы мало чем могут защитить персональные данные. Здесь всё-таки требуется комплексный подход с использованием разнообразных мер.

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=204604

Комментариев нет:

Отправить комментарий