how interact with regulations bodies

1/65© 2008 Cisco Systems, Inc. All rights reserved.Personal Data

Как общаться с регуляторами

Алексей Лукацкий

Бизнес-консультант по безопасности

© 2008 Cisco Systems, Inc. All rights reserved.Personal Data 2/65

Вопросы при общении с регуляторами

Какие регуляторы меня могут проверить?

Может ли меня проверить регулятор?

Что может проверять регулятор?

На основании чего меня может проверить регулятор?

Как меня будет проверять регулятор?

Когда меня будет проверять регулятор?

Как часто меня может проверять регулятор?

…


Регуляторы в области ПДн


Достаточность принятых мер

Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора

ст.3 Положения в ПП-781

Контроль соблюдения прав субъектов ПДнвозложен на Роскомнадзор

Контроль и надзор за выполнением требований к обеспечению безопасности персональных данных при их обработке в ИСПДн возлагается на ФСТЭК и ФСБ

ст.19 ФЗ-152


Регуляторы: Роскомнадзор

• Рассматривает обращения субъектов ПДн

• Проверка сведений в заявлении

• Требование изменение незаконно полученных ПДн

• Принимать меры

• Обращаться в суд по факту нарушения

• Направлять заявления о приостановлении лицензии

• Привлекать к административной ответственности

• Направлять в органы прокуратуры материалы по нарушениям

РКН


Регуляторы: ФСТЭК

• Выработка требований

• Классификация ИСПДн

• Определение каналов утечек

• Аттестация, сертификация и экспертиза

• Согласнование правил пользования СЗИ

• Учет СЗИ

ФСТЭК


Регуляторы: ФСБ

• Выработка требований

• Классификация ИСПДн

• Определение каналов утечек

• Тематические исследования, сертификация и экспертиза

• Согласование правил пользование СЗИ

• Учет СЗИ

• Эксплуатация и услуги в области шифрования

ФСБ


Может ли меня проверить регулятор


Генпрокуратора

Приказ от 02.10.2009 №319 «О порядке формирования ежегодного сводного плана проведения органами государственного контроля (надзора), муниципального контроля плановых проверок в отношении юридических лиц и индивидуальных предпринимателей»

Разработан в соответствие с ФЗ-294

Ключевые моменты

План проверок подается регуляторами до 1 ноября

На сайте Генпрокуратуры сводный план публикуется до 31 декабря

Обязательно наличие административного регламента на проверки


Что проверяет регулятор?


Только обязательные требования

В соответствие с ФЗ-294 и приказом Генпрокуратуры надзорный орган имеет право проверять выполнение только обязательныхтребований

Обязательные требования могут быть как подлежащие регистрации в МинЮсте, так и не подлежащие

Неподлежащие регистрации нормативные акты должны иметь заключение МинЮста


Требования по защите ПДн

Документы, которые устанавливает правовой статус организаций

Должны быть опубликованы в открытой печати

п.2 ст.4 ФЗ-152

п.17 Постановления Правительства №1009 от 13.08.1997 «Об утверждении Правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации»

Должны быть зарегистрирована в МинЮсте

п.10 Постановления Правительства №1009 от 13.08.1997

Должны быть подписана только руководителем



К чему это ведет?..

Федеральные органы исполнительной власти направляют для исполнения нормативные правовые акты, подлежащие государственной регистрации, только после их регистрации и официального опубликования

При нарушении указанных требований нормативные правовые акты, как не вступившие в силу, применяться не могут


Нелегитимность нормативно-правового акта определяет только суд и МинЮст


О коррупциогенностинормативных актов по ПДн


О коррупциогенности НПА

Ни один из нормативно-правовых актов не может быть утвержден без проверки по методике проведения экспертизы проектов нормативных правовых актов и иных документов в целях выявления в них положений, способствующих созданию условий для проявления коррупции

Постановление Правительства от 5 марта 2009 г. №196

Новые версии НПА должны будут пройти через нее

С непредвзятой точки зрения предыдущая версия требований по защите ПДн обладали очень высоким уровнем для проявления коррупции ;-(


О коррупциогенности НПА (продолжение)

Факторы, связанные с реализацией полномочий органа государственной власти

Установление неопределенных, трудновыполнимых и обременительных требований к организациям

Отсутствие четкой регламентации прав организаций

Возможность необоснованного установления исключений из общего порядка для организаций по усмотрению органов власти

Установление общеобязательных правил поведения в подзаконном акте в условиях отсутствия закона

Употребление неустоявшихся, двусмысленных терминов и категорий оценочного характера

5 из 9 факторов!


О коррупциогенности НПА (продолжение)

Факторы, связанные с правовыми пробелами

Отсутствие порядка совершения органами власти определенных действий либо одного из элементов такого порядка

Отсутствие превентивных антикоррупционных норм

Отсутствие норм о юридической ответственности служащих, а также норм об обжаловании их действий (бездействия) и решений

Отсутствие норм, обеспечивающих возможность осуществления контроля, в том числе общественного, за действиями органов власти

Отсутствие норм, предусматривающих раскрытие информации о деятельности органов власти и порядка получения информации по запросам граждан и организаций

5 из 7 факторов


О коррупциогенности НПА (окончание)

Факторы системного характера

Противоречия (нормативные коллизии), в том числе внутренние, между нормами, создающие для органов власти возможность произвольного выбора норм, подлежащих применению в конкретном случае


К чему приводит отсутствие согласования «обязательных» требований с МинЮстом


ПЭМИН: ФСТЭК против РКН

Внеплановые проверки Роскомнадзора по «радиочастотному» направлению

Департамент здравоохранения города Москвы

Управление архитектуры и градостроительства администрации Ангарского муниципального образования

Обнаружен факт эксплуатации генератора шума (для защиты от ПЭМИН) без разрешения на использование радиочастот или радиочастотных каналов и свидетельства о регистрации радиоэлектронного средства

Административная ответственность (по 13.4 КоАП)

Генератор шума отключен

http://www.rsoc.ru/main/about/regional_news.shtml?id_news=2585

http://38.rsoc.ru/news/?id_news=97

http://38.rsoc.ru/news/?id_news=97


ПЭМИН: ФСТЭК против РКН (продолжение)

Разрешено использовать без оформления отдельных решений ГКРЧ генераторы шума в диапазоне 0,1-1000 МГц

Решение ГКРЧ 05-10-03-001 от 28.11.2005 «О выделении полосы радиочастот 0,1-1000 МГц для генераторов радиошума, используемых в качестве средств защиты информации»

Но потребуется регистрация генератора и получение разрешения в ФАС на использование радиочастот в диапазоне 0,1-1000 МГц

Большинство генераторов шума «бьет» до 2 Ггц или даже 10 ГГц

Частное решение ГКРЧ может получаться около года



Без соответствующих решений ГКРЧ, Минобороны России и ФСО России не допускается разработка, модернизация, производство и применение РЭС и ВЧУ, ввоз на территорию Российской Федерации РЭС и ВЧУ, а также принятие технических регламентов, национальных стандартов и правил применения, касающихся вопросов использования полос радиочастот РЭС и ВЧУ

«Положение о порядке рассмотрения материалов, проведения экспертизы и принятия решения о выделении полос радиочастот для радиоэлектронных средств и высокочастотных устройств», утвержденное решением ГКРЧ от 17.11.2007 № 07-22-03-001



…ГКРЧ является органом исполнительной власти, а ее решения в качестве межведомственного координационного органа, действующего при Мининформсвязи, приобретают обязательный характер постольку, поскольку утверждаются данным полномочным федеральным органом исполнительной власти в области связи либо согласованным решением этого органа и других заинтересованных федеральных органов исполнительной власти

п.2.4 постановления Конституционного суда Российской Федерации от 28.02.2006 № 2-П


ПЭМИН: ФСТЭК против РКН (окончание)

Наличие сертификата ФСТЭК является необходимым, но недостаточным условием для эксплуатации генератора шума

Данная ситуация сложилась в результате некорректных действий руководства ФСТЭК России, убедившего производителей ГРШ в возможности производства ГРШ, использующих радиочастоты в диапазоне 0,1-2000 МГц, без соответствующего решения ГКРЧ

Более того ФСТЭК России были выданы сертификаты соответствия на ГРШ такого типа без учета требований нормативных правовых актов в сфере связи


ПЭМИН и приказ №58

В «первой» версии документов ФСТЭК для типовых ИСПДн 1-го и 2-го классов борьбы с ПЭМИН была обязательной

В приказе №58 это требование стало необязательным

Борьбы с ПЭМИН зависит от модели угроз

Решение принимается оператором ПДн


На основании чего меня проверяет регулятор?


Административные регламенты

Надзорный орган обязан разработать и утвердить в МинЮсте административный регламент проведения проверок в области ПДн

На сегодняшний день такой регламент есть только у Роскомнадзора

Утвержден приказом от 01.12.2009 № 630 (прошел регистрацию в МинЮсте)

У ФСБ есть «Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»


Контроль и надзор


Общее о проверках

РКН, ФСТЭК и ФСБ не имеют опыта проведения проверок по линии персональных данных и учатся на операторах ПДн, постепенно набирая опыт

РКН проверяет соответствие требования ФЗ-152, забывая про Европейскую Конвенцию

ФСТЭК и ФСБ проверяют соответствие собственным требованиям, не всегда легитимным

Проверяющие не всегда юридически подкованы

Все ждут 01.01.2011, когда ФЗ-152 вступит в полную силу

Правда, «неожиданно» вступилв силу и ФЗ-294 ;-)

Все надзорные органы в РФ зависимы, в отличие от Европы


Контроль со стороны ФСТЭК / ФСБ

Контроль со стороны ФСТЭК

Проверки на данный момент носят эпизодический характер

Преимущественно государственные и муниципальные структуры

Существующий общий административный регламент ФСТЭК разрешает проверять только лицензиатов

Основание для проверок – СТР-К и т.п.

Контроль со стороны ФСБ

Преимущественно касается наличия лицензий на деятельность в области шифрования

10+ уголовных дел по ст.171 УК РФ (Незаконное предпринимательство) против московских банков с конца 2008 года


Проверки ФСТЭК

Результаты анализа 80 тысяч ИСПДн

отсутствие требований по технической защите персональных данных в ТЗ и проектной документации

незавершенность классификации ИСПДн или ее ошибочность

невыполнение работ по анализу угроз информационной безопасности

незавершенность разработки необходимого комплекта организационно-распорядительной документации

отсутствие документов, регламентирующих порядок передачи персональных данных третьим лицам

отсутствие необходимых мер и сервисов защиты информации

использование несертифицированных СЗИ

невыполнение работ по аттестации ИСПДн


Проверки ФСТЭК

Результаты анализа 80 тысяч ИСПДн

непринятие мер по учету машинных носителей

отсутствие в должностных регламентах ответственных лиц за защиту персональных данных и их полномочий по контролю за выполнением требований по защите

отсутствие достаточного количества квалифицированных специалистов

Достоверность данных проверок вызывает вопросы

Число проверенных ИСПДн существенно превышает число проверок РКН при полном отсутствии информации о первых

Низкая достоверность представленных данных не говорит о «нереальности» обнаруженных недочетов


Проверки ФСБ

В полной мере работы по контролю и надзору будут начаты с января 2011 года

Порядок проведения проверок, ограничения в отношении должностных лиц, осуществляющих проверку, а также программа проведения работ по контролю и надзору, определяются подготовленным 8 Центром ФСБ России «Типовым регламентом проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации…»


Проверки ФСБ (окончание)

Выбор объектов проверок осуществляется на основании информации, представленной Роскомнадзором

Обычно нарушений по линии ФСБ нет, исключая

Использование средств криптозащиты, отличающихся от эталонных сертифицированных версий

Невыполнение отдельных требований по порядку эксплуатации криптосредств, предусмотренных технической документацией

Несовершенство отдельных подготовленных оператором документов, регламентирующих вопросы обеспечения безопасности в конкретной организации


Права Роскомнадзора по надзору

ПП-419 в части контроля и надзора ПДн отсылает нас к ФЗ-152

ПП является подзаконным актом и не должен противоречит ФЗ

Ст.23 ФЗ-152 – это частная норма права, а ФЗ-294 –общая

ФЗ-152 ФЗ-294ПП-419


Планируемые изменения

Появление новых оснований для плановых и внеплановых проверок

Утверждение регламентов осуществления проверок

Как ведомственных, так и совместных

Уведомление РКН о принимаемых мерах по защите

Передача сведений об используемых средствах защиты из РКН в ФСБ и ФСТЭК


Требования ФЗ-294


Государственный контроль и надзор

Любая проверка со стороны регулятора должна проводиться в строгом соответствии с ФЗ от 26.12.2008 №294 «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного и муниципального контроля (надзора)»

Если другие нормативные акты не сужают область действия надзорного органа

Предыдущий ФЗ-134 прекращает свое действие с 01.07.2009 г.

Отдельные положения ФЗ-294 вступают в силу с 01.01.2010


В будущем могут быть сюрпризы

Особенности организации и проведения проверок при осуществлении… лицензионного контроля,… контроля и государственного надзора в области связи, контроля в области обращения и защиты информации… в части, касающейся вида, предмета, оснований проверок и сроков их проведения, могут устанавливаться другими федеральными законами

Аналогичная норма есть в ст.5 ФЗ-184 «О техническом регулировании» - появляется возможность выпуска иных нормативных актов, требования которых противоречат ФЗ-294

Однако в ФЗ-294 такие исключения разрешены только на уровне федерального закона – в защите ПДн таких исключений в данный момент нет



Принципы контроля и надзора

Презумпция добросовестности

Открытость и доступность для юридических лиц и индивидуальных предпринимателей нормативных правовых актов, устанавливающих обязательные требования, выполнение которых проверяется при проведении государственного контроля (надзора)

Проведение проверок в соответствии с полномочиями органа государственного контроля (надзора)

Недопустимость проводимых в отношении одного юридического лица несколькими органами государственного контроля (надзора) проверок исполнения одних и тех же обязательных требований

Недопустимость взимания органами государственного контроля (надзора) с юридических лиц платы за проведение мероприятий по контролю



Особенности контроля и надзора

.Для проверки нужно основании, которое выражается в виде распоряжения (приказа), в котором среди прочего упомянуты -цели, задачи и предмет проверки и правовые основания проведения проверки

Нормативные правовые акты, принятые органами государственного контроля (надзора) в нарушение законодательства Российской Федерации, признаются недействительными полностью или частично в порядке, установленном законодательством Российской Федерации

Орган контроля не имеет права проверять исполнение обязательных требований, которые не относятся к сфере его компетенции

Все проверки делятся на документарные и (или) выездные. Документарные проверки проводятся в первую очередь


Программа проверок РКН

К приказу о проведении проверки в форме приложения составляется программа (план) проверки

Программа составляется в произвольной форме



Процедура проверки

Уведомление о плановой проверке не позднее чем в течение трех рабочих дней до начала ее проведения в виде заказного письма с уведомлением или иным доступным способом

Уведомление о внеплановой проверке не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом

Если в результате деятельности юридического лица причинен или причиняется вред … предварительное уведомление юридических лиц о начале проведения внеплановой выездной проверки не требуется

Акт проверки должен составлять сразу после ее завершения



Плановые проверки

Предметом плановой проверки является соблюдение юридическим лицом в процессе осуществления деятельности обязательных требований

Плановое мероприятие по контролю может быть проведено не более чем один раз в три года (кроме образования, здравоохранения и социалки – можно чаще)

План проверок должен быть размещен на сайте



Основание для плановой проверки

Регистрация юридического лица

Истечение 3-х лет с последней проверки

Начало осуществления предпринимательской деятельности согласно уведомления

В административном регламенте РКН предусмотрено еще 2 основания

Осуществление оператором ПДн деятельности по обработке персональных данных

Истечение 3-х лет с момента государственной регистрации оператора ПДн



Предмет внеплановой проверки

Предметом внеплановой проверки является соблюдение юридическим лицом обязательных требований, выполнение предписаний органов государственного контроля (надзора), проведение мероприятий по предотвращению причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, по обеспечению безопасности государства, по предупреждению возникновения чрезвычайных ситуаций природного и техногенного характера, по ликвидации последствий причинения такого вреда

Защита прав субъектов ПДн, а также выполнения требований по обеспечению безопасности ПДн не подпадают ни под одно из данных определений

Также считает и сам РКН (из выступления на парламентских слушаниях)



Основания для внеплановых проверок

Истечение срока исполнения юридическим лицом ранее выданного предписания об устранении выявленного нарушения обязательных требований

Поступление в органы государственного контроля (надзора) обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о фактах возникновения угрозы или причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, безопасности государства, а также угрозы чрезвычайных ситуаций природного и техногенного характера

Обращения, не позволяющие установить лицо, обратившееся в орган надзора, не могут служить основанием для проведения внепланового мероприятия по контролю


Государственный контроль и надзор (окончание по основания для внеплановых проверок)

Основания для внеплановых проверок

нарушение прав потребителей (в случае обращения граждан, права которых нарушены)

В административном регламенте РКН предусмотрено еще 2 основания - поступление в РКН обращений и заявлений о следующих фактах

нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их ПДн

нарушение операторами ПДн требований ФЗ-152 и иных нормативных правовых актов в области ПДн, а также о несоответствии сведений, содержащихся в уведомлении об обработке ПДн, фактической деятельности


О правах потребителя

Вспомним: основание для внеплановых проверок

нарушение прав потребителей (в случае обращения граждан, права которых нарушены)

Надзором в сфере защиты прав потребителей занимается Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор)

По ФЗ-294 несколько органов по контролю не могут проверять одни и те же обязательные требования


Кто такой потребитель?

Потребитель - гражданин, имеющий намерение заказать или приобрести либо заказывающий, приобретающий или использующий товары (работы, услуги) исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности

ФЗ "О защите прав потребителей

Клиент и сотрудник банка. Кто из них двоих является потребителем?

Клиент, но не сотрудник ;-(

Нарушение прав субъекта ПДн не является нарушением прав потребителя (?)

Субъект ПДн в данном случае ничего не потребляет



Согласование проверок

Внеплановые проверки тоже надо согласовывать с прокуратурой до проверки и только когда существует угроза причинения вреда

Внеплановую проверку можно начать без предварительного согласования, но только при условии уже нанесенного вреда (и с последующим уведомлением в течение 24 часов). При этом прокуратура в течение суток определяет законность внеплановой проверки

План проверок должен быть представлен в прокуратуру для составления сводного плана до 1 ноября. Отсутствие правовых оснований для проверки приведет к отказу прокураторы в ее проведении

Прокуратура согласовывает только выездные, не документарные проверки



Документарная проверка

Предметом документарной проверки являются сведения, содержащиеся в документах юридического лица устанавливающих их организационно-правовую форму, права и обязанности, документы, используемые при осуществлении их деятельности и связанные с исполнением ими обязательных требований, исполнением предписаний и постановлений органов государственного контроля (надзора)

В случае, если достоверность сведений вызывает обоснованные сомнения либо эти сведения не позволяют оценить исполнение юридическим лицом обязательных требований орган государственного контроля (надзора) направляют в адрес юридического лицамотивированныйзапрос с требованием представить иные необходимые для рассмотрения в ходе проведения документарной проверки документы


Государственный контроль и надзор (окончание по документарным проверкам)

Документарная проверка

При проведении документарной проверки орган государственного контроля (надзора) не вправе требовать у юридического лица сведения и документы, не относящиеся к предмету документарной проверки

Выездная проверка

Выездная проверка проводится в случае, если при документарной проверке не представляется возможным удостовериться в полноте и достоверности сведений или оценить соответствие деятельности юридического лица обязательным требованиям без проведения соответствующего мероприятия по контролю



Продолжительность проверок

Продолжительность мероприятия по контролю не должна превышать 20 дней. Для малого предприятия – 50 часов

В исключительных случаях, связанных с необходимостью проведения специальных исследований (испытаний), экспертиз со значительным объемом мероприятий по контролю, на основании мотивированного предложения должностного лица, осуществляющего мероприятие по контролю, руководителем органа государственного контроля (надзора) или его заместителем срок проведения проверок может быть продлен, но не более чем на 20 дней (15 часов для SMB)


Блок-схема проверок РКН

Утверждение приказа Службы о проведении

проверки за соответствием обработки

персональных данных требованиям

законодательства Российской Федерации в

области персональных данных

Документарная Выездная

Изучение документов

Оператора, имеющихся в

распоряжении Службы

Оформление и направление

мотивированного запроса в

адрес Оператора с

приложением перечня

запрашиваемых документов

Завершение проверки

Принятие решения

о выездной

проверке

Выезд по местонахождению

Оператора

Предъявление служебного

удостоверения, ознакомление

представителей Оператора с

приказом о проведении

проверки, целями, задачами,

основаниями выездной

проверки, видами и объемом

мероприятий по контролю, со

сроками и условиями ее

проведения

Проведение мероприятий по

контролю

Завершение проверки

Изучение полученных документов Оператора


Чем завершается проверка

Акт проверки

Предписание об устранении выявленных нарушений

Составлением протокола об административном правонарушении

Подготовка и направление материалов проверки в органы прокуратуры, другие правоохранительные органы для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам правонарушений (преступлений), связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью

Проект административного регламента РКН


Предписание об устранении РКН


Блок-схема оформления проверки РКНСоставление должностными лицами Службы акта проверки

Оператора

Нарушения не

выявлены

Нарушения

выявлены

Ознакомление представителя

Оператора с содержанием акта

проверки

Подписание акта должностными

лицами Службы

Вручение экземпляра акта проверки с

копиями приложений представителю

Оператора или направление по почте

с уведомлением о вручении

Ознакомление представителя

Оператора с содержанием акта

проверки

Подписание акта должностными

лицами Службы

Вручение экземпляра акта

проверки с копиями приложений

представителю Оператора или

направление по почте с

уведомлением о вручении

Выдача предписания об

устранении выявленного

нарушения и осуществление

контроля за его исполнением

Должностные лица Службы, а также

представители Оператора, не согласные с

принятыми решениями, излагают в письменной

форме особое мнение, которое прилагается к

акту проверки

Выявление в ходе или по результатам проверки

административного правонарушения или

уголовно наказуемого деяния

В рамках компетенции Службы

Вне компетенции

СлужбыНаправление протокола об

административном правонарушении

с материалами проверки на

рассмотрение в суд

Материалы проверки направляются в органы

прокуратуры, другие правоохранительные органы для

разрешения вопроса о возбуждении дела об

административном правонарушении, о возбуждении

уголовных дел по признакам правонарушений

(преступлений), связанных с нарушением прав

субъектов персональных данных, в соответствии с

подследственностью


Тайна результатов проверки

Орган контроля не вправе распространять информацию, полученную в результате проведения проверки и составляющую государственную, коммерческую, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством Российской Федерации

Если результаты проверок включить в перечень служебной или коммерческой тайны, то РКН не сможет сообщать о фактах нарушения ФЗ на своем сайте или в прессе


Если вы не согласны

Юридическое лицо в случае несогласия с фактами, выводами, предложениями, изложенными в акте проверки, либо с выданным предписанием об устранении выявленных нарушений в течение пятнадцати дней с даты получения акта проверки вправе представить в соответствующие орган государственного контроля (надзора) в письменной форме возражения в отношении акта проверки и (или) выданного предписания об устранении выявленных нарушений в целом или его отдельных положений. При этом юридическое лицо вправе приложить к таким возражениям документы, подтверждающие обоснованность таких возражений


Если вы не согласны (окончание)

Объединения юридических лиц вправе обращаться в органы прокуратуры с просьбой принести протест на противоречащие закону нормативные правовые акты, на основании которых проводятся проверки юридических лиц, индивидуальных предпринимателей


Блок-схема обжалования проверки РКНОбжалование Оператором действий

(бездействия) должностных лиц Службы или

ее территориального органа при проведении

проверки

Рассмотрение обращения

Оператора в течении 30 дней

Направление ответа

Оператору по

результатам

рассмотрения его

обращения

Проводится служебная

проверка по итогам которой, в

отношении должностных лиц

Службы или ее

территориального органа,

принимаются меры

дисциплинарного характера

В случае подтверждения

фактов, изложенных

обращении Оператора

Продление срока рассмотрения обращения Оператора, но не более

30 дней.


Пример: опротестование мнения РКН

Хабаровский край

Роскомнадзор без согласования с прокуратурой провел внеплановую выездную проверку небольшой организации по факту нарушения прав субъекта ПДн

Мотивация РКН - защита прав потребителей

Прокуратора посчитала такой мотив некорректным

В действиях Роскомнадзора было выявлено нарушение законодательства

По сути – небольшая организация действительно нарушила права субъекта ПДн


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410

how interact with regulations bodies

Self Improvement

cisco systems

smb personal data