ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОСТАНОВЛЕНИЕ
от 18 сентября 2012 г. N 940

ОБ УТВЕРЖДЕНИИ ПРАВИЛ
СОГЛАСОВАНИЯ ПРОЕКТОВ РЕШЕНИЙ АССОЦИАЦИЙ, СОЮЗОВ И ИНЫХ
ОБЪЕДИНЕНИЙ ОПЕРАТОРОВ ОБ ОПРЕДЕЛЕНИИ ДОПОЛНИТЕЛЬНЫХ УГРОЗ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ
ДАННЫХ, ЭКСПЛУАТИРУЕМЫХ ПРИ ОСУЩЕСТВЛЕНИИ ОПРЕДЕЛЕННЫХ
ВИДОВ ДЕЯТЕЛЬНОСТИ ЧЛЕНАМИ ТАКИХ АССОЦИАЦИЙ, СОЮЗОВ И ИНЫХ
ОБЪЕДИНЕНИЙ ОПЕРАТОРОВ, С ФЕДЕРАЛЬНОЙ СЛУЖБОЙ БЕЗОПАСНОСТИ
РОССИЙСКОЙ ФЕДЕРАЦИИ И ФЕДЕРАЛЬНОЙ СЛУЖБОЙ
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

В соответствии с частью 7 статьи 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет:

Утвердить прилагаемые Правила согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю.

Председатель Правительства
Российской Федерации
Д.МЕДВЕДЕВ

Утверждены
постановлением Правительства
Российской Федерации
от 18 сентября 2012 г. N 940

ПРАВИЛА
СОГЛАСОВАНИЯ ПРОЕКТОВ РЕШЕНИЙ АССОЦИАЦИЙ, СОЮЗОВ И ИНЫХ
ОБЪЕДИНЕНИЙ ОПЕРАТОРОВ ОБ ОПРЕДЕЛЕНИИ ДОПОЛНИТЕЛЬНЫХ УГРОЗ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ
ДАННЫХ, ЭКСПЛУАТИРУЕМЫХ ПРИ ОСУЩЕСТВЛЕНИИ ОПРЕДЕЛЕННЫХ
ВИДОВ ДЕЯТЕЛЬНОСТИ ЧЛЕНАМИ ТАКИХ АССОЦИАЦИЙ, СОЮЗОВ И ИНЫХ
ОБЪЕДИНЕНИЙ ОПЕРАТОРОВ, С ФЕДЕРАЛЬНОЙ СЛУЖБОЙ БЕЗОПАСНОСТИ
РОССИЙСКОЙ ФЕДЕРАЦИИ И ФЕДЕРАЛЬНОЙ СЛУЖБОЙ
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

1. Настоящие Правила устанавливают порядок согласования проектов решений ассоциаций, союзов и иных объединений операторов (далее - объединение операторов) об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов (далее - проект решения), с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю.

2. Проект решения, направляемый на согласование, содержит:

а) наименование объединения операторов;

б) наименование и реквизиты нормативного правового акта, принятого в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных", определяющего угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки, наряду с которыми объединение операторов определило дополнительные угрозы безопасности персональных данных;

в) перечень видов деятельности, при осуществлении которых в информационных системах персональных данных при обработке персональных данных актуальны дополнительные угрозы персональных данных;

г) перечень дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении указанных видов деятельности членами объединений операторов.

3. К проекту решения, направляемому на согласование, прилагаются следующие документы:

а) копии учредительных документов и сведения о фамилии, имени, отчестве, адресе электронной почты, номере телефона контактного лица объединения операторов, а также о членах объединения операторов. Объединение операторов вправе по собственной инициативе представить сведения об идентификационном номере налогоплательщика и информацию с описанием сферы деятельности объединения операторов;

б) пояснительная записка к проекту решения, содержащая совокупность дополнительных условий и факторов, создающих потенциальную или реально существующую опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление и распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных, и описание возможного вреда, причиняемого субъектам персональных данных при реализации этих угроз.

4. Проект решения и документы, предусмотренные пунктом 3 настоящих Правил, представляются в Федеральную службу безопасности Российской Федерации и Федеральную службу по техническому и экспортному контролю на бумажных носителях, подписанных собственноручной подписью уполномоченного лица и заверенных печатью объединения операторов, или в виде электронных документов, подписанных квалифицированной электронной подписью.

5. Проект решения и прилагаемые к нему документы подлежат регистрации в день их поступления в Федеральную службу безопасности Российской Федерации и Федеральную службу по техническому и экспортному контролю в установленном этими органами порядке.

6. Проект решения подлежит рассмотрению в течение 30 рабочих дней со дня его поступления в Федеральную службу безопасности Российской Федерации и Федеральную службу по техническому и экспортному контролю.

7. По результатам рассмотрения проекта решения Федеральная служба безопасности Российской Федерации и Федеральная служба по техническому и экспортному контролю сообщают объединению операторов о его согласовании или об отказе в согласовании с указанием выявленных недостатков.

Сообщение о результатах рассмотрения проекта решения направляется объединению операторов на бумажном носителе или в виде электронного документа, подписанного квалифицированной электронной подписью.

8. Основаниями для отказа в согласовании проекта решения являются:

а) наличие в проекте решения дополнительных угроз, которые реализуются в составе других дополнительных угроз безопасности персональных данных, не отраженных в проекте решения;

б) наличие в проекте решения дополнительных угроз, которые влекут за собой возникновение других дополнительных угроз безопасности персональных данных, не отраженных в проекте решения;

в) несоблюдение требований, установленных пунктами 2 и 3 настоящих Правил.

9. Отказ в согласовании проекта решения может быть обжалован объединением операторов в порядке, установленном законодательством Российской Федерации.

Задайте вопрос юристу:
+7 (499) 703-46-71 - для жителей Москвы и Московской области
+7 (812) 309-95-68 - для жителей Санкт-Петербурга и Ленинградской области