ГлавнаяНаследованиеКак проводится проверка Роскомнадзора
10.02.2023

Как проводится проверка Роскомнадзора

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как проводится проверка Роскомнадзора». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Как проверяет Роскомнадзор?
2. Услуги по подготовке к проверке
3. Кого проверяет Роскомнадзор
4. Виды проверок соблюдения законодательства о персональных данных
5. Регламент проведения проверок обращения с персданными
6. Фотографии работников без отдельного согласия использовать запрещено
7. Компания вправе по запросу адвоката выдать копию трудовой книжки супругу
8. Советы предпринимателям
9. Как проходит проверка
10. Как получить информацию, является ли организация оператором, осуществляющим обработку персональных данных
11. Что именно будут проверять

Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.

Давайте подытожим, что нам нужно сделать, чтобы подготовиться к проверке РКН по вопросам выполнения законодательства в сфере защиты персональных данных и успешно ее пройти.

  1. Проанализировать необходимость подачи уведомления оператора ПДн. Проверить наличие уведомления, проверить корректность информации в уведомлении. Внести изменение в уведомление, при необходимости.
  2. Провести подробную инвентаризацию обрабатываемых персональных данных, информационных систем персональных данных, законность обработки различных персональных данных, технологические процессы обработки персональных данных и т. д. Эта информация нам понадобится при разработке документов.
  3. Назначить ответственных.
  4. Разработать комплект документации по защите персональных данных. Документация должна быть конкретизированной в отношении определенной организации и/или определенной ИСПДн. Уделяя время разработке документации по защите и обработке ПДн в информационных системах, не забыть о регламентировании неавтоматизированной обработки ПДн.
  5. Опубликовать политику в отношении обработки персональных данных на сайте (хотя допускается и другой вид организации беспрепятственного доступа к документу, если вы не гос- или муниципальный орган).
  6. Ознакомить всех причастных сотрудников с разработанной документацией.
  7. Заполнить журналы.
  8. Проинструктировать своих сотрудников о том, что проверяющим не нужно говорить лишнего и о том, что не нужно разбрасывать документы с ПДн по всему офису.
  9. Вести себя корректно с проверяющими. Выразить свою готовность исправлять мелкие недочеты в процессе проверки.

Как проверяет Роскомнадзор?

Существуют плановые и внеплановые проверки, которые проводятся как в отношении тех организаций, которые включены в реестр Роскомнадзора, так и тех, что не включены. Плановые проверки более безобидные, так как о том, что вас проверят, оповестят заранее (не позднее чем за три дня), а по внеплановым проверкам — всего за 24 часа. Роскомнадзор в конце каждого года публикует на своем сайте план проверок на следующий календарный год и проверяет в соответствии с ним.

Для организации все начинается с уведомления, которое приходит по почте России. В нем Роскомнадзор уведомляет о намерении проверить и кратко сообщает, что именно будет проверять. Также в уведомлении сообщается состав проверочной комиссии, дата и срок выездной проверки. Срок проверки обычно составляет 20 рабочих дней, но это не значит, что все 20 дней у вас будет сидеть комиссия, а говорит лишь о дедлайне проверки. Комиссия, как правило, приезжает всего 2-3 раза: первый раз — запросить документы, второй раз — забрать документы и третий раз — выдать акт о проверке с замечаниями и предписанием на устранение нарушений. Нередко сразу выписываются протоколы об административных правонарушениях.

По факту объем запрашиваемых документов и методика самой проверки сильно варьируются в зависимости от того или иного территориального управления Роскомнадзора.

Кратко порядок проверки выглядит так:

  1. Уведомление оператора о проведении плановой проверки путем направления копии приказа руководителя Роскомнадзора о проверке почтой России. Уведомление должно поступить оператору не позднее трех рабочих дней до начала ее проверки (при плановой проверке), что очень мало, чтобы успеть к ней подготовиться.
  2. Далее в указанный в уведомлении день проверки приезжает комиссия, как правило, в составе 2-3 человек для осуществления государственного контроля.
  3. На месте проверки комиссия запрашивает и рассматривает документы, имеющиеся у оператора «под рукой», и выдает список документов для предоставления оператором до окончания срока проверки. Непредоставление оператором запрошенных документов расценивается как несоответствие требованию закона, и выписывается штраф, а также предписание на устранение нарушений.
  4. По результатам рассмотрения представленных оператором к проверке документов Роскомнадзор составляет акт проверки, предписание об устранении выявленных нарушений, а также протоколы об административных нарушениях в отношении оператора.
  5. По окончании срока предписания об устранении выявленных нарушений назначается повторная внеплановая проверка. В случае неустранения нарушений деятельность организации приостанавливается.
Читайте также:  Как оформить детский загранпаспорт в Украине в 2023 году

Услуги по подготовке к проверке

Специалисты Центра безопасности данных имеют большой опыт взаимодействия с Роскомнадзором в ходе контрольных мероприятий. Мы проанализируем все процессы обработки персональных данных в вашей компании, разработаем стратегию подготовки к проверке и её прохождения, подготовим все необходимые документы и рекомендации, проанализируем все запросы проверяющих и составим на них ответы, подскажем как вести себя в ходе проверки и ответим на все вопросы касательно персональных данных и проверки.

По результатам подготовки к проверке Роскомнадзора вы получите:

  • первичную консультацию с выработкой стратегии прохождения проверки;
  • комплект внутренних организационно-распорядительных документов, регламентирующих вопросы обработки и защиты персональных данных;
  • консультации по вопросам в области персональных данных;
  • регистрацию в качестве оператора персональных данных;
  • анализ сведений в реестре операторов персональных данных и внесение изменений при необходимости;
  • анализ запросов Роскомнадзора и подготовка ответов;
  • консультации по вопросам прохождения проверки.

Административным регламентом №312 определена последовательность действий (административных процедур) Роскомнадзора и его территориальных органов.

В частности, предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных являются (п. 5 Административного регламента №312):

  • документы, характер информации в которых предполагает или допускает включение в них персональных данных (напр., личные дела работников)
  • информационные системы персональных данных (напр., правила ведения электронного документооборота в программе 1С)
  • деятельность по обработке персональных данных (напр., локальный нормативный акт о защите ПДР, согласие на обработку персональных данных и др.)

Общий перечень документов, подлежащих проверке, законодательно не определен.

Приведем примерный список документов:

  • Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав и др.)
  • Список ПД, обрабатываемых работодателем
  • Список работников, имеющих доступ к ПД, приказ об их допуске
  • Инструкции работников, которые в ходе своей трудовой деятельности обрабатывают ПД и обеспечивают информационную защиту
  • Положение об ответственности работников за разглашение ПД и нарушение запрета доступа к ним
  • Локальный нормативный акт о защите ПД
  • Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности)
  • Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи работников по требованиям информационной безопасности)
  • Соглашения о неразглашении ПД с подписями работников
  • Бланки согласия работников на обработку их ПД
  • Журналы инструктажей работников по вопросам информационной безопасности и других внутренних контрольных мероприятий режима защиты
  • Журналы учета всех носителей информации, а также средств защиты информационных систем

Кого проверяет Роскомнадзор

В соответствие с Положением о Роскомнадзоре (постановление Правительства №228 от 16.03.2009 года), Служба осуществляет контроль и надзор деятельности операторов персональных данных в части выполнения ними требований действующего законодательства.

Оператор персональных данных (ОПД) – любая организация, ИП, физлицо, федеральных или муниципальный орган власти, который каким-либо образом взаимодействует с личной (персональной) информацией третьих лиц.

В состав персональной информации включаются:

  • паспортные данные;
  • ИНН;
  • место проживания;
  • информация о составе семьи;
  • данные о фактическом местонахождении;
  • банковские реквизиты;
  • личная информация из автобиографии.

Таким образом, Роскомнадзор вправе проверить:

  • любого работодателя, который консолидирует личную информацию о сотрудниках;
  • компанию сферы ИТ, которая занимается обработкой персональных данных пользователя;
  • фирму, которая собирает заявки от клиентов путем анкетирования (в том числе через интернет-сайт или электронную почту).

Порядком предусмотрено проведение Роскомнадзором как плановых, так и внеплановых проверок. Плановые проверки осуществляются согласно утвержденному графику. Внеплановые проверки могут проводится на основании жалоб, поступивших в Роскомнадзор в части нарушения ОПД требований действующего законодательства.

Виды проверок соблюдения законодательства о персональных данных

Ключевые моменты в положении о проверках, которые нужно учитывать предприятиям:

  1. Роскомнадзор проверяет две ключевые составляющие деятельности операторов ПД (п. 7 Положения по постановлению № 1046):
  • деятельность по обработке персональных данных самого оператора и третьих лиц, которые выполняют его поручения;
  • результаты деятельности оператора по разработке документов и локальных нормативов, направленных на обеспечение требований по ч. 1 ст. 18.1 Закона № 152-ФЗ.
  1. Предусмотрены профилактические мероприятия (п. 13 Положения), контрольно-надзорные мероприятия (п. 42 Положения).

Указанная классификация основана на перечнях профилактических и контрольно-надзорных мероприятий, приведенных, соответственно, в ст. 45 и 56 Закона № 248-ФЗ. Профилактические мероприятия — это «мягкие» варианты взаимодействия регулятора и контролируемого лица, контрольно-надзорные — более «строгие». Возможно, что по итогам профилактического мероприятия будет начато контрольно-надзорное (ч. 4 ст. 45 Закона № 248-ФЗ).

  1. Частота и типы профилактических и контрольно-надзорных мероприятий привязаны к категории риска, присвоенной хозяйствующему субъекту (п. 10 Положения).

Регламент проведения проверок обращения с персданными

Правительство РФ утвердило правила проверок организаций на предмет того, не нарушают ли они закон при обработке персональных данных своих сотрудников и клиентов-физлиц.

Читайте также:  Выплаты при сокращении работника в 2022 году по ТК РФ

Объект проверки

Проверять будут юрлиц и ИП, являющихся операторами персданных.

Таким образом, контролю подвергнут работодателей, поскольку они являются операторами персданных.

Виды проверок

Ревизии могут проходить в виде:

  1. плановых проверок – выездных и документарных;
  2. внеплановых проверок – выездных;
  3. мероприятий без взаимодействия инспекторов с операторами.

Плановые проверки

Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.

Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.

В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.

Внеплановые проверки

Проводятся на основании:

  • обращений граждан;
  • по требованию прокурора;
  • в случае неисполнения оператором предписания.

Уведомление компании

Роскомнадзор должен уведомить фирму:

  • о проведении плановой проверки – не позднее чем за 3 рабочих дня:
  • о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.

Способ уведомления – направление копии приказа о проведении проверки (либо-либо):

  • заказным письмом с уведомлением о вручении;
  • электронным документом с усиленной квалифицированной электронной подписью на электронную почту.

Что будут проверять

Инспекторы проверят:

  • документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 закона о персданных;
  • обработку персданных на предмет ее соответствия установленным требованиям;
  • информационные системы персданных.

Фотографии работников без отдельного согласия использовать запрещено

Роскомнадзор по итогам плановой проверки выписал организации (бассейну) предписание с требованием прекратить использование на пропусках клиентов их фотографий.

Нарушение заключалось в том, что бассейн не заручился отдельными письменными согласиями пловцов на обработку их биометрических персональных данных в виде фотоизображений (ст. 11 закона № 152-ФЗ).

Организация возразила:

  1. посетители бассейна давали общее согласие на обработку их персданных;
  2. фотографии к своим пропускам люди прикрепляли добровольно;
  3. пока они плавали, предприятие не занималось цифровой или текстовой обработкой этих фотографий;
  4. закон не относит фотографическое изображение гражданина на бумажном носителе к биометрическим персональным данным, в связи с чем бассейн может использовать фото посетителей и с их устного согласия.

Судьи с этим не согласились.

В соответствии со ст. 11 закона № 152-ФЗ биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Истолковав данное Определение, суд пришел к выводу, что фотографическое изображение, содержащиеся на документе «Пропуск», является биометрическими персональными данными, поскольку характеризует физиологические и биологические особенности человека, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска.

Компания вправе по запросу адвоката выдать копию трудовой книжки супругу

Бывшая сотрудница подала иск к своему бывшему работодателю, потребовав признать незаконными его действия по передаче копии ее трудовой книжки адвокату ее бывшего мужа.

Адвокат использовал этот документ в качестве доказательства в процессе о взыскании алиментов.

Истица своего согласия на передачу копий трудовой книжки третьим лицам не давала.

Таким образом, компания нарушила ст. 3 закона о персональных данных и ст. 87, 88 Трудового кодекса РФ, не обеспечив сохранность ее персданных и неправомерно передав их без согласия и судебного запроса неуполномоченному лицу.

Однако суд решил, что адвокат является именно уполномоченным лицом.

Запрос был сделан на основании п. 1 ч. 3 ст. 6 Закона от 31.05.2002 № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации». Данная норма дает право собирать адвокату сведения, необходимые для оказания юрпомощи, в том числе запрашивать справки, характеристики и иные документы не только у госорганов, но и организаций. Они обязаны выдать адвокату запрошенные им документы или их заверенные копии в месячный срок со дня получения запроса адвоката.

Кроме того, в запросе адвокат указал, что сведения о трудовой деятельности ему необходимы для предъявления в суд в качестве доказательств по гражданскому делу, рассматриваемому в закрытом судебном заседании, и гарантировал соблюдение режима конфиденциальности представленных сведений.

Компания, в свою очередь, направляя копию трудовой книжки, указала в сопроводительном письме, что использовать полученные персональные данные работника он может исключительно для целей, указанных в его запросе, с соблюдением режима секретности (конфиденциальности).

Таким образом, нормы права не были нарушены.

В соответствии с п. 2 и 3 ч. 1 ст. 6 закона о персональных данных обработка персданных истца осуществлялась в целях обеспечения права на представление доказательств по гражданскому делу.

Процедура инспекции зависит от ее типа, основными являются следующие:

  • Плановые. В конце года составляется график проведения инспекций на следующий период, и эта информация публикуется на официальном сайте уполномоченного органа. За три дня до начала инспекции проверяемая организация предупреждается лично или письмом.
  • Внеплановые. Такие мероприятия осуществляются после поступивших жалоб. В зависимости от степени серьезности нарушения о визите инспекторов могут сообщить за сутки или вовсе не предупредить.
  • Документарные. Контролирующий орган запрашивает необходимые документы, которые руководитель предприятия обязан предоставить в определенные сроки.
  • Выездные. Территория организации осматривается сотрудниками уполномоченного органа.
Читайте также:  Как оплачивается и оформляется декретный отпуск

Такие инспекции могут проводиться как Роскомнадзором, так и ФСБ.

Советы предпринимателям

Во время проверки:

  1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
  2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
  3. Не паникуйте;
  4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
  5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
  6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
  7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Как проходит проверка

Юрий Контемиров: Сама проверка по правилам должна занимать до 20 рабочих дней, но при необходимости этот срок может быть продлен еще на 20 дней.
В случае с SuperJob такое продление было. Это было обусловлено значительным объемом документов, затрагивающих вопросы обработки персональных данных, а также необходимостью анализа баз данных, обрабатываемых в ИТ-системах данной компании. Традиционно, если в ходе проверки были выявлены нарушения, компания получает предписание об их устранении, на это ей дается срок, достаточный для устранения нарушений. В случае с Superjob срок исполнения предписаний — полгода. По истечении этого срока проводится внеплановая проверка по контролю за исполнением ранее выданного предписания и если нарушения не устранены, материалы передаются в органы прокуратуры, которые принимают решение о возбуждении административного производства (итогом этого могут быть штрафы, обеспечительные меры и проч.).

Наталия Годжаева: Мы знакомили специалистов Роскомнадзора с документами, организовали демонстрацию работы сервиса Superjob. Мы старались быть максимально открытыми: не просто предоставляли документы, а организовали демонстрацию работы сервиса по всем возможным сценариям. Мы показали, как взаимодействует с системой соискатель, как это делает работодатель, как работают администраторы. Проверяющие тоже, кстати, пришли не с пустыми руками. Они заранее проверили работу многих сценариев и задавали конкретные вопросы, доставали заготовки. Например, мы в реальном времени показывали, как работает удаление резюме пользователем, потом тут же переместились к системным архитекторам и попросили их показать, что данные из этого резюме нельзя получить «изнутри».

Как получить информацию, является ли организация оператором, осуществляющим обработку персональных данных

Вы можете проверить любую организацию на предмет ее наличия в списке операторов РКН. Это можно сделать на сайте ведомства Роскомнадзор или прямо здесь. Для этого введите ИНН компании и ее название.

Роскомнадзор ведет реестр операторов персональных данных, формируемый из государственных органов власти, коммерческих компаний, индивидуальных предпринимателей и даже физических лиц. Сбор и обработка личных сведений регулируется Федеральным законом № 152-ФЗ. За его нарушение операторы несут административную ответственность в виде штрафа. Вы можете проверить прямо здесь или на сайте РКН, состоит ли интересующее вас ведомство или организация в списке хранителей личных сведений, с правом их использования (оборота).

Что именно будут проверять

Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

Роскомнадзор осуществляет контроль над следующими направлениями:

  • Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
  • Системы, осуществляющие обработку данных (ПК и программы).
  • Наличие локальных нормативных актов.
  • Исполнение положений этих актов.
  • Сайт организации.

Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *