Проверка Роскомнадзора

Проверка Роскомнадзора

Как проводится проверка Роскомнадзора

Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.

Полномочия Роскомнадзора

У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:

  1. Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
  2. Надзор над предоставлением услуг в области связи.
  3. Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
  4. Ведение информационной системы, реестров операторов связи.
  5. Регистрация СМИ.
  6. Защита информации, являющейся государственной тайной.

Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.

Разновидности проверок

Роскомнадзор осуществляет следующие формы проверок:

  • Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
  • Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
  • Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
  • Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.

Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

Что именно будут проверять

Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

Роскомнадзор осуществляет контроль над следующими направлениями:

  • Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
  • Системы, осуществляющие обработку данных (ПК и программы).
  • Наличие локальных нормативных актов.
  • Исполнение положений этих актов.
  • Сайт организации.

Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.

Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:

  • Учредительная документация (ИНН, устав и прочее).
  • Уведомление о том, что фирма работает с ПД.
  • Перечень ПД, сбор которых осуществляется.
  • Перечень работников, у которых есть доступ к данным.
  • Приказ о допуске таких сотрудников к ПД.
  • Инструкции для специалистов, которые работают с данными.
  • Положение об ответственности сотрудников за разглашение ПД.
  • Документ об обработке ПД.
  • Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
  • Соглашение о неразглашении ПД.
  • Письменное согласие лиц на обработку.
  • Журналы инструктажей относительно мер безопасности.
  • Журналы учета носителей сведений.

Роскомнадзор также может затребовать и другие документы.

Продолжительность проверки

Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.

Особенности подготовки к проверке

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

  1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
  2. Проверка соответствия деятельности информации, прописанной в едином реестре.
  3. Назначение лица, ответственного за работу с ПД.
  4. Составление Политики фирмы в отношении обработки ПД.
  5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
  6. Проверка правильности хранения документов, ограниченности доступа к ним.
  7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Как осуществляется проверка

Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.

Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.

Результаты проверки

В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.

Можно ли обжаловать результаты проверки?

Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.

Проверка Роскомнадзора на 2020 год – что проверяют, как подготовиться, виды проверок

Здравствуйте! Сегодня мы обсудим еще один вид проверок, затрагивающий каждого работодателя, а именно инспекции Роскомнадзора. О том, как они проходят, и как к ним подготовиться, читайте в нашей статье.

Содержание

Виды проверок

Процедура проверки во многом зависит от ее вида. Основные типы проверок:

  1. Плановые. Их график составляется заранее, еще в конце предыдущего года, и публикуется на сайте. Кроме того, проверяемого предупредят письмом или лично как минимум за три дня до начала инспекции.
  2. Внеплановые. Они инициируются после поступления жалоб от недовольных клиентов или даже от доноса конкурента. В зависимости от серьезности предполагаемого нарушения о проверке могут предупредить за сутки, а могут и не предупредить вовсе.
  3. Документарные. Проверяется пакет документов, который по запросу предоставляется в контролирующий орган.
  4. Выездные. Осматривается территория предприятия.

Что проверяет Роскомнадзор

Далеко не все знают, за какую область отвечает Роскомнадзор, или иначе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Роскомнадзор контролирует работу операторов любых персональных данных (сотрудников или клиентов).

Подконтрольными Роскомнадзору субъектами выступают все предприятия, большинство ИП и даже некоторые граждане, которые вне зависимости от объема, обрабатывают и собирают информацию о клиентах, сотрудниках и других гражданах.

У вас есть наемные работники? Если ответ положительный, то будьте уверены, вы уже точно попадаете под проверки Роскомнадзора по персональным данным.

Трудовой Кодекс РФ дает нам такое толкование термина: персональные данные сведения, которые необходимо передать работодателю для осуществления служебных обязанностей. Например , это паспортные данные, номер телефона, адрес и даже факты биографии (образование, опыт работы, семейное положение).

  1. Документы, включающие в себя персональные данные. Если проверка выездная – еще и условия их хранения, организацию места хранения. Собственно хранение данных на предприятии может быть физическим или электронным, Роскомнадзор проверяет оба метода;
  2. Обрабатывающие их системы (компьютеры и программы);
  3. Внутренние нормативные акты, касающиеся обработки и хранения персональных данных, и их практическое соблюдение;
  4. Сайт компании в интернете. Например, предприятие могут оштрафовать, если на его сайте производится сбор персональных данных (для регистрации нужно вводить свое имя, номер телефона), но не размещены подробности дальнейшей работы компании с персональными данными.

Единого перечня документов, которые подвергаются проверке, не существует, но приблизительный список такой:

  • Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав общества и прочие);
  • Копия уведомления о намерении осуществлять работу с персональными данными (можно заменить выпиской из реестра операторов);
  • Список персональных данных, собираемых и охраняемых вашей компанией;
  • Список сотрудников, имеющих доступ к персональным данным, вместе с приказом об их допуске;
  • Инструкции сотрудников, которые в ходе своей трудовой деятельности обрабатывают персональные данные и обеспечивают информационную защиту;
  • Положение об ответственности работников за разглашение персональных данных и нарушение запрета доступа к ним;
  • Положения о коммерческой тайне, о защите персональных данных, хранящихся на предприятии;
  • Положения об особенностях обработки персональных данных, в том числе их обезличивания;
  • Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности);
  • Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи сотрудников по требованиям информационной безопасности);
  • Соглашения о неразглашении персональных данных, подписанные всеми сотрудниками;
  • Бланки согласия граждан на обработку их персональных данных;
  • Журналы инструктажей сотрудников по вопросам информационной безопасности и прочих внутренних контрольных мероприятий режима защиты;
  • Журналы учета всех носителей информации, а также средств защиты информационных систем.

Как подготовиться к проверке Роскомнадзора

Перед любой проверкой важна правильная подготовка. Давайте рассмотрим, какие мероприятия помогут не ударить в грязь лицом перед инспектором.

Проверка Роскомнадзора одна из самых сложных в плане подготовки. Данные – вещь нематериальная, для обеспечения безопасности их недостаточно положить в сейф под ключ. Нужно привести в порядок огромный пакет документов, и не удивительно, что сделать это самостоятельно, не упустив ничего из виду, задача не из легких.

Крупные операторы обычно не скупятся на содержание в штате фирмы специально обученного сотрудника, который следил бы за всеми бумагами, информационными системами и руководил подготовкой к проверке.

Для предприятий поменьше есть другой, но тоже недешевый вариант – нанять стороннего эксперта. Он поможет единожды систематизировать хранение и обработку персональных данных на фирме.

Если эти два варианта предпринимателю не по карману, придется все делать собственными силами.

Основной план подготовительных мероприятий выглядит так:

  1. Убедитесь, что ранее вы подавали в Роскомнадзор уведомление об обработке персональных данных. Подавать его нужно прежде, чем начинать деятельность, и опоздание уже становится поводом для штрафа. На практике Роскомнадзору почти всегда удается доказать, что каждый работодатель является оператором персональных данных. Какие бы факты он ни приводил в доказательство обратного.
  2. Проверьте, соответствует ли ваша текущая деятельность указанному в едином реестре. Уточните содержание заявления, которое вы ранее подавали в Роскомнадзор и при необходимости внесите в него изменения. Необходимую для этого форму можно скачать на сайте Роскомнадзора. Именно несоответствие этих данных и фактической деятельности выступает самой распространенной причиной штрафа от Роскомнадзора. Например, даже назначение другого ответственного за обработку персональных данных сотрудника уже становится основанием для штрафа.
  3. Назначьте ответственного за обработку персональных данных, вместе с ним приступайте к подготовке всех документов, сопровождающих путь персональных данных от сбора, до хранения и уничтожения.
  4. Обязательно оформите «Политику компании в отношении обработки персональных данных». Вы можете дать документу другое название, но суть в том, что он станет основополагающим сводом правил и инструкций в интересующем Роскомнадзор вопросе.
  5. Подготовьте к проверке всех сотрудников. Ознакомьте их с документами по работе с персональными данными. Установите четкие правила поведения с инспекторами, если ожидается выездная проверка. Очень часто у проверяющих возникают вопросы к простым работникам. Отработайте с ними тактику «глухой защиты» – ничего не говорить, ничего не подписывать без присутствия руководителя. Вы действительно имеете на это право.
  6. Проверьте, как и где вы храните бумаги, особенно ксерокопии паспортов, кто имеет к ним доступ.
  7. Проверьте материально-техническое оснащение офиса: замки на важных помещениях, наличие сейфов для документов.
  8. Воспользуйтесь специальными онлайн-сервисами для подготовки документов. Они бывают совсем бесплатными или коммерческими, но в любом случае дешевле офлайн специалиста. Особенно если вы практически не знакомы с законодательством о персональных данных, сервисы дадут исключительно актуальные подсказки по подготовке.
Читать еще:  Штраф за справку 2-НДФЛ

Как проходит проверка Роскомнадзора

Начинается проверка с уведомления проверяемого. В нем указываются сроки и реквизиты инициирующего приказа. Прилагаются, кроме того, копия самого приказа, план контрольных мероприятий.

Сначала проверяют документы. На предприятие отправляется запрос, на который необходимо ответить в течение 10 дней. Предприниматель предоставляет копии документов, заверенные подписью и печатью. Свидетельство нотариуса не требуется. Если в документах содержится вся необходимая для разъяснения ситуации информация, то до выездной инспекции дело не дойдет.

Но если в бумагах будут обнаружены ошибки или у инспектора останутся вопросы, то тогда он лично навестит предпринимателя. Посетителей должно быть минимум двое, они обязаны предъявить удостоверения и копии приказа о проведении проверки.

Длится выездная проверка 20 рабочих дней, и еще на 20 дней она может быть продлена, если требуется провести дополнительные исследования.

Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки.
Результат проверки можно обжаловать. Сделать это можно как письменно, так и устно (например, в ходе личного приема или по телефону – подробности можно найти на сайте территориального органа Роскомнадзора). Рассматривается жалоба в течение месяца.

Советы предпринимателям

Во время проверки:

  1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
  2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
  3. Не паникуйте;
  4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
  5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
  6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
  7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Проверка Роскомнадзора: как подготовиться и избежать штрафов

Проверяя компанию, Роскомнадзор руководствуется прежде всего Федеральным законом №152-ФЗ «О персональных данных». При этом проверка может быть как плановой, так и внеплановой.

Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года. Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит. Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Тем более что в настоящее время Госдума рассматривает законопроект о значительном увеличении штрафов за нарушения в обработке персональных данных.

Виды проверок Роскомнадзора

Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.

— Плановая проверка

О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.

— Внеплановая проверка

Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

— Документарная проверка

В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.

— Выездная проверка

При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.

В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.

Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?

Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований. Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять. Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.

Если привлечение внешнего специалиста для вас дорого, сделайте выбор в пользу бюджетного варианта и используйте специальные онлайн-сервисы для выполнения законодательства о персональных данных.

Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:

  1. Для начала найдите в компании человека, который будет следить за выполнением законодательства в области персональных данных. Часто в компаниях малого и среднего бизнеса эта функция делегируется бухгалтеру, кадровику или юристу. Реже ее берет на себя руководитель. В крупных компаниях вопросами защиты информации может заниматься целый отдел.
  2. Назначьте ответственного за организацию обработки персональных данных в компании. Скорее всего, это будет тот же человек, который занимается вопросами персональных данных.
  3. Изучите процесс обработки персональных данных в компании, например, какие персональные данные компания собирает, в каких целях. Компания может собирать персональные данные работников для выполнения трудового законодательства или данные клиентов для выполнения заключенных с ними договоров, ей также могут понадобиться персональные данные соискателей на вакантные должности. Возможно, компания передает эти данные в другую организацию, например, данные сотрудников в бухгалтерию.
  4. На основе полученной информации разработайте пакет документов, включающий политику компании в отношении обработки персональных данных, положение по неавтоматизированной обработке, приказ о назначении ответственных и ряд других положений, приказов, инструкций и актов. Разработанные документы необходимо утвердить.
  5. Обязательно ознакомьте с утвержденными документами всех работников, которые имеют к ним отношение. Например, с положением по неавтоматизированной обработке нужно ознакомить только тех работников, которые работают непосредственно с бумажными документами, содержащими персональные данные.
  6. Основной документ — политику компании в отношении обработки персональных данных — разместите в общедоступном месте, чтобы каждый желающий мог ее прочесть. Лучше всего копию документа разместить на информационном стенде. Если у компании есть сайт, на котором собираются персональные данные пользователей, например, ФИО, телефон и e-mail для регистрации, то на сайте также нужно разместить политику, причем в том месте, где она будет заметна пользователю.
  7. Подайте уведомление в Роскомнадзор об обработке персональных данных. Уведомление оформляется в двух видах — электронном и печатном.

Чтобы выслать уведомление в электронном виде, нужно на сайте Роскомнадзора заполнить электронную форму. После отправки электронного уведомления, распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.

В течение 30 дней Роскомнадзор рассмотрит ваше уведомление и добавит компанию в реестр операторов. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона №152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.

Проверка Роскомнадзора: на что обращают внимание инспекторы?

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Какие персональные данные можно обрабатывать без уведомления:

  1. данные, которые обрабатываются в соответствии с трудовым законодательством;
  2. данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  3. данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  4. данные, сделанные субъектом персональных данных общедоступными;
  5. данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
  6. данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
  9. данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Читать еще:  Удержание из заработной платы по договору займа

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.

Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных. К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.

В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

Инспекционная проверка по персональным данным: что требует Роскомнадзор?

В статье читайте:

  1. Как проходит проверка Роскомнадзора
  2. Что требует проверяющий
  3. Как работодателю подготовиться к проверке Роскомнадзора
  4. Какая ответственность за нарушение обработки персональных данных работников введена с 01.07.2017
  5. Где получить дополнительную информацию о проведении проверок Роскомнадзора

1. Как проходит проверка Роскомнадзора

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) осуществляет функции по контролю и надзору за соответствием обработки персональных данных (далее – ПД) требованиям законодательства РФ.

Процедура принятия решения о проведении проверок представлена в Блок-схеме 1:

Процедура проверки зависит от ее вида и формы.

Согласно Федеральному закону N 294-ФЗ от 26.12.2008 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (далее – Закон 294-ФЗ) проверки бывают плановые и внеплановые.

И те, и другие могут проходить в форме выездной и документарной проверки.

Особенности проведения разных видов и форм проверок приведены в таблице 1:

В Административном регламенте исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки ПД требованиям законодательства РФ в области персональных данных, утв. Приказом от 14.11.2011 № 312 (далее – Административный регламент №312) приведен перечень нормативных правовых актов, регулирующих процедуру проверки.

Кроме того, в нем перечислены права и обязанности должностных лиц Роскомнадзора при осуществлении проверок (пп. 6-7 Административного регламента №312) и права и обязанности работодателей, в отношении которых проводится проверка (пп. 8-9 Административного регламента №312).

Процедура проведения проверок представлена в Блок-схеме 2:

Сроки проведения проверок приведены в таблице 2 (пп. 20-21 Административного регламента №312):

При необходимости продления срока проверки проводящие проверку должностные лица не позднее чем за два дня до даты окончания проверки готовят докладную записку с изложением причин продления срока и направляют ее руководителю Роскомнадзора или руководителю территориального органа, принявшему решение о проведении проверки.

Варианты завершения проверки:

  • составление и вручение работодателю акта проверки
  • выдача работодателю предписаний об устранении выявленных нарушений требований законодательства РФ в области персональных данных
  • составление протоколов об административных правонарушениях в отношении работодателя
  • подготовка и направление материалов проверки в органы прокуратуры, другие правоохранительные органы для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам преступлений, связанных с нарушением прав персональных данных работников

Процедуры оформления результатов и принятия мер по результатам проверок представлены в Блок-схеме 3 (п. 10 Административного регламента №312):

2. Что требует проверяющий

Административным регламентом №312 определена последовательность действий (административных процедур) Роскомнадзора и его территориальных органов.

В частности, предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных являются (п. 5 Административного регламента №312):

  • документы, характер информации в которых предполагает или допускает включение в них персональных данных (напр., личные дела работников)
  • информационные системы персональных данных (напр., правила ведения электронного документооборота в программе 1С)
  • деятельность по обработке персональных данных (напр., локальный нормативный акт о защите ПДР, согласие на обработку персональных данных и др.)

Общий перечень документов, подлежащих проверке, законодательно не определен.

Приведем примерный список документов:

  • Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав и др.)
  • Список ПД, обрабатываемых работодателем
  • Список работников, имеющих доступ к ПД, приказ об их допуске
  • Инструкции работников, которые в ходе своей трудовой деятельности обрабатывают ПД и обеспечивают информационную защиту
  • Положение об ответственности работников за разглашение ПД и нарушение запрета доступа к ним
  • Локальный нормативный акт о защите ПД
  • Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности)
  • Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи работников по требованиям информационной безопасности)
  • Соглашения о неразглашении ПД с подписями работников
  • Бланки согласия работников на обработку их ПД
  • Журналы инструктажей работников по вопросам информационной безопасности и других внутренних контрольных мероприятий режима защиты
  • Журналы учета всех носителей информации, а также средств защиты информационных систем

Конкретный перечень документов должен быть приведен в приказе руководителя.

3. Как работодателю подготовиться к проверке Роскомнадзора

Несколько практических рекомендаций по подготовке к проверке Роскомнадзора:

  1. Назначить работника, ответственного за обработку ПД
  2. Разработать и утвердить локальный нормативный акт о защите ПД
  3. Ознакомьте всех работников с документами по работе с ПД.
  4. Ежегодно проверять график проведения плановых проверок на официальном сайте Роскомнадзора
  5. Привести в порядок все документы, регламентирующие работу с ПД, обращая внимание на условия информации и хранения документов (напр., материально-техническое оснащение помещений: замки на дверях, наличие сейфов для документов и пр.)
  6. Постоянно отслеживать изменения в законодательстве РФ по ПД
  7. Регулярно проводить внутренний аудит документов, содержащих ПД
  8. Установить алгоритм поведения с проверяющими (они должны получать информацию у представителя ЮЛ или ИП)

Для разработки документа, определяющего политику оператора в отношении обработки ПД советуем воспользоваться рекомендациями по его составлению, которые размещены на официальном сайте Роскомнадзора: https://rkn.gov.ru/personal-data/p908/

В частности, в Политику по защите ПД рекомендуется включить следующие структурные компоненты:

  1. Общие положения
  2. Цели сбора персональных данных
  3. Правовые основания обработки персональных данных
  4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
  5. Порядок и условия обработки персональных данных
  6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Также приводим пример формы согласия на обработку ПД:

Поведение работодателя (оператора ПД) во время проверки:

  1. Ознакомиться с документами, относящимися к проверке, с положениями и регламентом
  2. При необходимости пригласить юриста, что поможет не упустить из виду важные нюансы в переговорах и оформлении документов
  3. Тщательно проверять документы, прежде чем передать их инспектору (по возможности со всех документов снять копии)
  4. Инспекторы имеют права изымать только документы, имеющие отношение к предмету проверки
  5. Перед передачей инспектору документов внимательно проверить их (оператору ПД дается время для обработки запроса)
  6. Помнить, что оператор ПД имеет право обжаловать результаты проверки в суд

4. Какая ответственность за нарушение обработки персональных данных работников введена с 01.07.2017

С 01.07.2017 вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

Данный закон установил семь новых составов административных правонарушений при обработке ПД, затрагивающих основной круг распространенных правонарушений в области ПД.

Полная информация об ответственности за нарушение правил обработки ПД приведена в таблице 3:

5. Где получить дополнительную информацию о проведении проверок Роскомнадзора

Информация о порядке проведения проверок предоставляется (п. 11 Административного регламента №312):

  • посредством размещения на официальном сайте Роскомнадзора и его территориальных органов в информационно-телекоммуникационной сети «Интернет» (п. 15 Административного регламента №312)
  • непосредственно в центральном аппарате Службы и ее территориальных органах.

Место нахождения центрального аппарата Роскомнадзора: 109074, Москва, Китайгородский проезд, д. 7, стр. 2.

Почтовый адрес для направления обращений: 109074, Москва, Китайгородский проезд, д. 7, стр. 2.

Официальный сайт: https://rkn.gov.ru/ и www.роскомнадзор.рф

График работы Роскомнадзора и его территориальных органов: понедельник — четверг 9.00 — 18.00; пятница 9.00 — 16.45 (в предпраздничные дни продолжительность времени работы сокращается на 1 час).

Читать еще:  Вывод средств с офшорных счетов

Часы приема корреспонденции в экспедиции Роскомнадзора: понедельник — пятница 10.00 — 13.00, 14.00 — 16.00.

Что проверяет Роскомнадзор по персональным данным?

В предыдущем материале мы рассказали, что интересует ФСБ при проверке, связанной с персональными данными. Сейчас мы поговорим о Роскомнадзоре. Если Федеральную Службу Безопасности по большей части интересует технический вопрос, как хранятся, обрабатываются персональные данные, то Роскомнадзор акцентирует свое внимание на организационных мерах.

Чем руководствуются?

Список основных документов, содержащих правовые основания для проверки выглядит следующим образом:

Что проверяют?

Проверяют условия обработки персональных данных, делая упор исключительно на состоянии организационных мер по защите информации. В технические меры не углубляются, хотя обязательно посмотрят все информационные системы персональных данных в организации. Накануне проверки срочно устанавливать пароли на всех компьютерах нет особой необходимости, на это обращать внимания не будут.

А конкретнее?

Если конкретнее, то стоит отметить, что в разных регионах специфика проверок разная. В этом мы убедились из опыта общения с различными учреждениями, «коллегами по цеху» и непосредственно представителями проверяющего ведомства. Единую таблетку от всех проверок выписать невозможно, однако сформулировать ряд рекомендаций – вполне.

Итак, в базе Роскомнадзора должны быть сведения об операторе персональных данных, то есть, о вас. Есть исключения, но, если к вам идет проверка – значит, вы, скорее всего, у них в базе числитесь. Сведения должны быть актуальными.

Ваш сайт должен соответствовать требованиям законодательства. То есть, если у вас есть разделы «обратная связь», «обращение граждан» или другие подобные формы, на которых вы собираете любые данные о физических лицах, то вы обязаны взять с этого лица согласие на обработку его персональных данных. В настоящее время идут споры о том, является ли простановка галочки в чек-боксе юридически значимым действием, однако, сами проверяющие относятся к этому вполне лояльно. Кроме того, законодательство обязывает организацию разместить на сайте «Политику в отношении обработки персональных данных». Желательно размещать ее в таком месте, чтобы ее можно было найти как можно проще.

Что касается списка документов по защите персональных данных для проверки Роскомнадзора, то можно выделить следующие основные группы документов:

  • По неавтоматизированной обработке персональных данных. Включают в себя перечень мест хранения бумажных носителей персональных данных, лиц, имеющих к ним доступ, и положение о неавтоматизированной обработке персональных данных;
  • О приеме обращений субъектов персональных данных. Включает в себя положение о порядке приема обращений, набор шаблонов заявлений и обращений по этому вопросу;
  • Для работы отдела кадров. Включают в себя согласия на обработку персональных данных работников и журнал ознакомления сотрудников с положениями по защите персональных данных в организации;
  • По установлению уровня защищенности для информационных систем персональных данных. Включают в себя акты установления уровня защищенности информационных систем персональных данных и положения о мерах по обеспечению принятых уровней защищенности;
  • О назначении ряда ответственных сотрудников по работе с персональными данными. Включают в себя назначения ответственного за организацию обработки персональных данных, ответственного за обеспечение контролируемой зоны, ответственного за безопасность информации, ответственных за обеспечение конфиденциальности персональных данных во всех подразделениях;
  • По защите от несанкционированного доступа. Включают в себя положения о порядке устранения последствий от несанкционированного доступа, назначения ответственного за восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • По правилам уничтожения персональных данных. Включают в себя положения об уничтожении персональных данных, назначение комиссии по уничтожению персональных данных, акты уничтожения материальных носителей персональных данных;
  • О разграничении доступа к персональным данным. Включают в себя списки сотрудников, допущенных до обработки персональных данных, списки сотрудников, допущенных в кабинеты и/или информационные системы персональных данных, положения о разграничении прав доступа, матрицу доступа, инструкции пользователям и администраторам;
  • По работам с персональными данными. Перечень носит объемный характер и, в общем случае, содержит множество инструкций, регламентов и правил, описывающих хранение и передачу персональных данных внутри организации.

Безусловно, не стоит забывать про модель угроз. Сам документ проверяющие из РКН не смотрят, но им важно его наличие. Модель угроз – это вотчина ФСТЭК, но это тема совершенно другой статьи.

Что проверяет Роскомнадзор при плановой проверке

Постановлением Правительства №146 от 13.02.2020 года утвержден порядок проведения Роскомнадзором проверок по защите персональных данных. Роскомнадзор проверяет организации, предпринимателей, физлиц, которые осуществляют сбор, обработку и хранение персональных данных сотрудников, клиентов, третьих лиц. В статье разберем, что проверяет Роскомнадзор при плановой проверке, а также выясним, на что необходимо обратить внимание организации перед плановым визитом инспекторов.

Кого проверяет Роскомнадзор

В соответствие с Положением о Роскомнадзоре (постановление Правительства №228 от 16.03.2009 года), Служба осуществляет контроль и надзор деятельности операторов персональных данных в части выполнения ними требований действующего законодательства.

Оператор персональных данных (ОПД) – любая организация, ИП, физлицо, федеральных или муниципальный орган власти, который каким-либо образом взаимодействует с личной (персональной) информацией третьих лиц.

В состав персональной информации включаются:

  • паспортные данные;
  • ИНН;
  • место проживания;
  • информация о составе семьи;
  • данные о фактическом местонахождении;
  • банковские реквизиты;
  • личная информация из автобиографии.

Таким образом, Роскомнадзор вправе проверить:

  • любого работодателя, который консолидирует личную информацию о сотрудниках;
  • компанию сферы ИТ, которая занимается обработкой персональных данных пользователя;
  • фирму, которая собирает заявки от клиентов путем анкетирования (в том числе через интернет-сайт или электронную почту).

Порядком предусмотрено проведение Роскомнадзором как плановых, так и внеплановых проверок. Плановые проверки осуществляются согласно утвержденному графику. Внеплановые проверки могут проводится на основании жалоб, поступивших в Роскомнадзор в части нарушения ОПД требований действующего законодательства.

Когда Роскомнадзор проводит плановые проверки

Плановым проверкам подлежат все ОПД, которые взаимодействуют с персональной информацией третьих лиц. Периодичность проведения плановых проверок в общем порядке – не более 1-го раза в 3 года.

При этом для определенных категорий ОПД предусмотрены плановые проверки частотой 1 раз в 2 год. Речь идет о:

  • государственных операторах информационных систем;
  • операторах биометрических данных граждан;
  • ОПД, которые передают персональную информацию о третьих лицах за границу.

Для того чтобы узнать, включено ли предприятие в график плановых проверок в 2020 году, достаточно ознакомиться с информацией на сайте Службы https://rkn.gov.ru/plan-and-reports/.

Внеплановые проверки Роскомнадзора

Служба вправе проводить внеплановые проверки ОПД на основании жалоб, поступивших от сотрудников, клиентов, третьих лиц в части нарушения оператором персональных требованиям действующего законодательства. На основании жалобы руководитель органа Роскомнадзора издает распоряжение о проведении внеплановой проверки организации (ИП), копия которого направляется ОПД вместе с уведомлением о предстоящем контрольном мероприятии.

В ходе проверки Роскомнадзор подтверждает либо опровергает факты правонарушений, допущение ОПД в части сбора, хранения, обработки персональных данных и отраженные в жалобе. Выявленные нарушения инспектор Роскомнадзора отражает в акте проверки, после чего выдает ОПД предписании об их устранении в установленный срок.

Что проверяет Роскомнадзор при плановой проверке

Перечень мероприятий, проводимых инспектором Роскомнадзора в ходе проверки, устанавливается индивидуально к каждому предприятию (ИП) и отражается в распоряжении, которое направляется в адрес ОПД перед визитом представителей Службы.

В общем порядке проверке подлежат:

  • документы, в которых содержатся персональные данные сотрудников, клиентов, третьих лиц;
  • электронные носители (программы ПК, базы данных), на которых хранятся индивидуальные сведения о сотрудниках;
  • интернет-сайт, портал, через который осуществляется сбор персональной информации (например, анкетирование, прием заявок).

Согласно Порядку проведения проверок, в ходе контрольных мероприятий Роскомнадзор проверяет ОПД в части выполнения ним законодательства по защите персональных данных. Что конкретно может заинтересовать инспекторов при плановой проверке – в таблице ниже:

Подготовка к плановой проверке Роскомнадзора

Обнаружив свою организацию в графике плановых проверок Роскомнадзора, тщательно подготовьтесь к предстоящему визиту инспекторов Службы. На что стоит обратить особое внимание при подготовке – в инструкции ниже.

Шаг #1. Подготовьте документы

Первое, что потребуют инспекторы Роскомнадзора при проверке – документы, в которых содержатся персональные сведения сотрудников (клиентов, третьих лиц), а также внутренние нормативные акты, которые регламентируют работу с индивидуальными данными. В связи с этим перед визитом инспекторов проверьте наличие и корректность оформления следующих документов:

  • учредительные документы предприятия;
  • уведомление о работе с персональными данными;
  • выписка из реестра ОПД;
  • локальный нормативный акт, регламентирующий работу с персональными данными;
  • положение о коммерческой тайне, котором указан перечень информации, относящейся к коммерческой тайне, а также ответственность сотрудников за ее разглашение;
  • документы о защите персональных данных и информационной безопасности;
  • перечень сотрудников, которые имеют доступ к персональной информации других работников (клиентов, третьих лиц), их должностные инструкции;
  • документы (анкеты, заявления, уведомления) о согласии работников (клиентов, третьих лиц) на сбор и обработку ОПД персональных данных.

Шаг #2. Проведите внутреннюю инспекцию

Перед визитом инспекторов проведите самостоятельную внутреннюю ревизию предприятия, а именно:

  • проверьте условия хранения документов с персональными данными (наличие сейфов, изолированных помещений с ограниченным доступом);
  • проконтролируйте соблюдение установленных требований сотрудниками, которые, согласно должностным инструкциям, работают с персональными данными;
  • с помощью ответственного сотрудника ИТ-службы проанализируйте безопасность хранения персональных данных в электронных базах, а также корректность их сбора на сайте либо через электронную почту.

Уделите внимание прочим аспектам работы с персональной информацией, имеющим место в Вашей компании. К примеру, если фирма анкетирует клиентов через интернет-сайт, то на портале должно содержаться уведомление о согласии клиентов на обработку полученных данных.

Шаг #3. Подготовьте сотрудников

Регламент проведения плановых проверок позволяет инспекторам Роскомнадзора проводить беседы с сотрудниками (как ответственными, так и рядовыми) и задавать им вопросы, касающиеся соблюдения предприятием требований законодательства в части защиты персональных данных.

На практике инспектор может задать сотруднику провокационный вопрос, ответ на которых предполагает разглашение коммерческой тайны либо персональной информации третьих лиц. Для того чтобы подобные беседы не привели к нарушениям и взысканиям, подготовьте сотрудников к визиту Роскомнадзора, а именно:

  • ознакомьте сотрудников со всеми документами, необходимыми при работе с персональными данными;
  • предложите работникам тактику «глухой защиты» – отказ от каких-либо ответов и комментариев без присутствия непосредственного руководителя;
  • сообщите сотрудникам об их праве не отвечать на устные вопросы инспекторов и требовать запросы исключительно в письменном виде.

В ходе проверки и при переговорах с инспектора не паникуйте, сохраняйте спокойствие и будьте уверены в своей правоте. Кроме того, помните о своем праве оспорить результаты проверки в течение 30 дней с момента составления заключительного акта инспекции.

Ссылка на основную публикацию
Adblock
detector