Постановление Правительства РФ от 18.09.2012 № 940 "Об утверждении Правил согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю"
В соответствии с частью 7 статьи 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет:
Утвердить прилагаемые Правила согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю.
Председатель Правительства
Российской Федерации
Д.Медведев
Правила согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю
Утверждены
постановлением Правительства
Российской Федерации
от 18 сентября 2012 г. № 940
1. Настоящие Правила устанавливают порядок согласования проектов решений ассоциаций, союзов и иных объединений операторов (далее - объединение операторов) об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов (далее - проект решения), с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю.
2. Проект решения, направляемый на согласование, содержит:
а) наименование объединения операторов;
б) наименование и реквизиты нормативного правового акта, принятого в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных», определяющего угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки, наряду с которыми объединение операторов определило дополнительные угрозы безопасности персональных данных;
в) перечень видов деятельности, при осуществлении которых в информационных системах персональных данных при обработке персональных данных актуальны дополнительные угрозы персональных данных;
г) перечень дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении указанных видов деятельности членами объединений операторов.
3. К проекту решения, направляемому на согласование, прилагаются следующие документы:
а) копии учредительных документов и сведения о фамилии, имени, отчестве, адресе электронной почты, номере телефона контактного лица объединения операторов, а также о членах объединения операторов. Объединение операторов вправе по собственной инициативе представить сведения об идентификационном номере налогоплательщика и информацию с описанием сферы деятельности объединения операторов;
б) пояснительная записка к проекту решения, содержащая совокупность дополнительных условий и факторов, создающих потенциальную или реально существующую опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление и распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных, и описание возможного вреда, причиняемого субъектам персональных данных при реализации этих угроз.
4. Проект решения и документы, предусмотренные пунктом 3 настоящих Правил, представляются в Федеральную службу безопасности Российской Федерации и Федеральную службу по техническому и экспортному контролю на бумажных носителях, подписанных собственноручной подписью уполномоченного лица и заверенных печатью объединения операторов, или в виде электронных документов, подписанных квалифицированной электронной подписью.
5. Проект решения и прилагаемые к нему документы подлежат регистрации в день их поступления в Федеральную службу безопасности Российской Федерации и Федеральную службу по техническому и экспортному контролю в установленном этими органами порядке.
6. Проект решения подлежит рассмотрению в течение 30 рабочих дней со дня его поступления в Федеральную службу безопасности Российской Федерации и Федеральную службу по техническому и экспортному контролю.
7. По результатам рассмотрения проекта решения Федеральная служба безопасности Российской Федерации и Федеральная служба по техническому и экспортному контролю сообщают объединению операторов о его согласовании или об отказе в согласовании с указанием выявленных недостатков.
Сообщение о результатах рассмотрения проекта решения направляется объединению операторов на бумажном носителе или в виде электронного документа, подписанного квалифицированной электронной подписью.
8. Основаниями для отказа в согласовании проекта решения являются:
а) наличие в проекте решения дополнительных угроз, которые реализуются в составе других дополнительных угроз безопасности персональных данных, не отраженных в проекте решения;
б) наличие в проекте решения дополнительных угроз, которые влекут за собой возникновение других дополнительных угроз безопасности персональных данных, не отраженных в проекте решения;
в) несоблюдение требований, установленных пунктами 2 и 3 настоящих Правил.
9. Отказ в согласовании проекта решения может быть обжалован объединением операторов в порядке, установленном законодательством Российской Федерации.