Как пройти проверку Роскомнадзора?

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как пройти проверку Роскомнадзора?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Что проверяет Роскомнадзор
2. Как проверяет Роскомнадзор?
3. Как проходит проверка Роскомнадзора по защите персональных данных
4. Предмет проверки Роскомнадзора
5. Что именно будут проверять
6. Кого проверяет Роскомнадзор
7. Проверка Роскомнадзора — как заранее узнать о проведении проверки?
8. Как подготовиться к проверке персональных данных Роскомнадзором
9. Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»
10. Проверка Роскомнадзора: как подготовиться и избежать штрафов

Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.

Давайте подытожим, что нам нужно сделать, чтобы подготовиться к проверке РКН по вопросам выполнения законодательства в сфере защиты персональных данных и успешно ее пройти.

  1. Проанализировать необходимость подачи уведомления оператора ПДн. Проверить наличие уведомления, проверить корректность информации в уведомлении. Внести изменение в уведомление, при необходимости.
  2. Провести подробную инвентаризацию обрабатываемых персональных данных, информационных систем персональных данных, законность обработки различных персональных данных, технологические процессы обработки персональных данных и т. д. Эта информация нам понадобится при разработке документов.
  3. Назначить ответственных.
  4. Разработать комплект документации по защите персональных данных. Документация должна быть конкретизированной в отношении определенной организации и/или определенной ИСПДн. Уделяя время разработке документации по защите и обработке ПДн в информационных системах, не забыть о регламентировании неавтоматизированной обработки ПДн.
  5. Опубликовать политику в отношении обработки персональных данных на сайте (хотя допускается и другой вид организации беспрепятственного доступа к документу, если вы не гос- или муниципальный орган).
  6. Ознакомить всех причастных сотрудников с разработанной документацией.
  7. Заполнить журналы.
  8. Проинструктировать своих сотрудников о том, что проверяющим не нужно говорить лишнего и о том, что не нужно разбрасывать документы с ПДн по всему офису.
  9. Вести себя корректно с проверяющими. Выразить свою готовность исправлять мелкие недочеты в процессе проверки.

Что проверяет Роскомнадзор

Стоит выделить несколько ключевых вопросов, которые во время аудита обращают на себя внимание контролирующего органа:

  • Наличие Уведомления об обработке персональных данных и соответствие указанной в нем информации. Роскомнадзор отслеживает актуальность Уведомления, поэтому в случае смены цели обработки персональных данных или ответственного лица необходимо предупреждать федеральную службу.

  • Соответствие документа о защите персональных данных требованиям законодательства. Их достаточно много: в организации должны регулярно проводиться внутренние мероприятия по проверке и защите персональных данных, данные должны уничтожаться по достижении цели их получения и обработки, а доступ к помещениям и носителям информации должен быть контролируемым. Причем все эти действия должны быть подкреплены документально.

  • Соответствие формы согласия на обработку персональных данных.

  • Наличие разрешения на обработку специальных категорий персональных данных.

  • Соблюдение условий Положения о локализации хранения персональных данных.

  • Осведомленность сотрудников о положениях законодательства РФ о работе с персональными данными и локальными актами организации.

Как проверяет Роскомнадзор?

Существуют плановые и внеплановые проверки, которые проводятся как в отношении тех организаций, которые включены в реестр Роскомнадзора, так и тех, что не включены. Плановые проверки более безобидные, так как о том, что вас проверят, оповестят заранее (не позднее чем за три дня), а по внеплановым проверкам — всего за 24 часа. Роскомнадзор в конце каждого года публикует на своем сайте план проверок на следующий календарный год и проверяет в соответствии с ним.

Для организации все начинается с уведомления, которое приходит по почте России. В нем Роскомнадзор уведомляет о намерении проверить и кратко сообщает, что именно будет проверять. Также в уведомлении сообщается состав проверочной комиссии, дата и срок выездной проверки. Срок проверки обычно составляет 20 рабочих дней, но это не значит, что все 20 дней у вас будет сидеть комиссия, а говорит лишь о дедлайне проверки. Комиссия, как правило, приезжает всего 2-3 раза: первый раз — запросить документы, второй раз — забрать документы и третий раз — выдать акт о проверке с замечаниями и предписанием на устранение нарушений. Нередко сразу выписываются протоколы об административных правонарушениях.

По факту объем запрашиваемых документов и методика самой проверки сильно варьируются в зависимости от того или иного территориального управления Роскомнадзора.

Кратко порядок проверки выглядит так:

  1. Уведомление оператора о проведении плановой проверки путем направления копии приказа руководителя Роскомнадзора о проверке почтой России. Уведомление должно поступить оператору не позднее трех рабочих дней до начала ее проверки (при плановой проверке), что очень мало, чтобы успеть к ней подготовиться.
  2. Далее в указанный в уведомлении день проверки приезжает комиссия, как правило, в составе 2-3 человек для осуществления государственного контроля.
  3. На месте проверки комиссия запрашивает и рассматривает документы, имеющиеся у оператора «под рукой», и выдает список документов для предоставления оператором до окончания срока проверки. Непредоставление оператором запрошенных документов расценивается как несоответствие требованию закона, и выписывается штраф, а также предписание на устранение нарушений.
  4. По результатам рассмотрения представленных оператором к проверке документов Роскомнадзор составляет акт проверки, предписание об устранении выявленных нарушений, а также протоколы об административных нарушениях в отношении оператора.
  5. По окончании срока предписания об устранении выявленных нарушений назначается повторная внеплановая проверка. В случае неустранения нарушений деятельность организации приостанавливается.
Читайте также:  Как зарегистрировать дачный дом в 2023 году

Как проходит проверка Роскомнадзора по защите персональных данных

Программа предусматривает поэтапное взаимодействие:

  • предприятие получает уведомление (при плановой проверке – за 3 дня, при внеплановой – за сутки), в нём указывается дата проведения и номер приказа;
  • при документарной проверке (только плановой) высылается запрос и перечень документов, которые нужно представить. Руководитель высылает копии, заверенные своей подписью;
  • при выездной проверке (плановой или внеплановой, может следовать за документарной, если выявлены недочёты) приезжают два инспектора, которые проверяют соответствие документов реальному положению дел;
  • контролирующий орган выносит решение и даёт предписания;
  • предприятие выполняет предписания.

Важно! Если предписания выполнены в срок, предприятие продолжает свою деятельность без взысканий.

Предмет проверки Роскомнадзора

Сферы деятельности юридических лиц и ИП, надзор в которых осуществляет Роскомнадзор, перечислены в п. 5 положения, утвержденного постановлением Правительства РФ «О Федеральной…» от 16.03.2009 № 228. В соответствии с ним Роскомнадзор проводит проверки за соблюдением законодательства в различных сферах, в частности, таких как:

  • деятельность средств массовой информации, телеканалов, периодических печатных, электронных и других изданий;
  • информатизация и защита информации;
  • организация и работа радио и телевещания;
  • связь и массовые коммуникации;
  • организация и деятельность почтовых операторов;
  • обработка и защита персональных данных граждан.

Если в Вашем офисе появились лица, утверждающие, что они сотрудники некой государственной структуры и намерены провести проверку, то они должны предоставить Вам удостоверения личности и документы, являющиеся основанием для проведения именно этой проверки.

Потребуйте имя и должность непосредственного руководителя проверяющих, а также его контактный телефон. Если вам не предоставляют такую информацию, вызывайте наряд полиции по телефону 02 и жалуйтесь на самозванцев. В документах нужно обратить внимание на такие реквизиты, как наименование Вашей организации, ОГРН, ИНН. Сопоставьте указанные данные с реальными. Если есть расхождения (даже незначительная ошибка в названии компании), Вы можете не пускать проверяющих на предприятие. Время, за которое документ будут исправлять, нужно использовать для подготовки к визиту.

Что именно будут проверять

Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

Роскомнадзор осуществляет контроль над следующими направлениями:

  • Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
  • Системы, осуществляющие обработку данных (ПК и программы).
  • Наличие локальных нормативных актов.
  • Исполнение положений этих актов.
  • Сайт организации.

Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.

Кого проверяет Роскомнадзор

В соответствие с Положением о Роскомнадзоре (постановление Правительства №228 от 16.03.2009 года), Служба осуществляет контроль и надзор деятельности операторов персональных данных в части выполнения ними требований действующего законодательства.

Оператор персональных данных (ОПД) – любая организация, ИП, физлицо, федеральных или муниципальный орган власти, который каким-либо образом взаимодействует с личной (персональной) информацией третьих лиц.

В состав персональной информации включаются:

  • паспортные данные;
  • ИНН;
  • место проживания;
  • информация о составе семьи;
  • данные о фактическом местонахождении;
  • банковские реквизиты;
  • личная информация из автобиографии.

Таким образом, Роскомнадзор вправе проверить:

  • любого работодателя, который консолидирует личную информацию о сотрудниках;
  • компанию сферы ИТ, которая занимается обработкой персональных данных пользователя;
  • фирму, которая собирает заявки от клиентов путем анкетирования (в том числе через интернет-сайт или электронную почту).

Порядком предусмотрено проведение Роскомнадзором как плановых, так и внеплановых проверок. Плановые проверки осуществляются согласно утвержденному графику. Внеплановые проверки могут проводится на основании жалоб, поступивших в Роскомнадзор в части нарушения ОПД требований действующего законодательства.

Проверка Роскомнадзора — как заранее узнать о проведении проверки?

Посмотреть планируется ли плановая проверка в отношении Вашей организации достаточно легко. Эта информация ежегодно публикуется в едином реестре проверок Роскомнадзора и является общедоступной.

В соответствии с Постановлением Правительства №146 от 13 февраля 2019 г. «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» плановые проверки по общим правилам проводятся не чаще одного раза в 2 года со дня окончания его последней плановой проверки. О начале проведения проверки контролирующий орган должен уведомить организацию в срок не позднее, чем за три рабочих дня до начала ее проведения, направив копии приказа заказным почтовым отправлением с уведомлением о вручении, или посредством направления электронного документа, подписанного усиленной квалифицированной электронной подписью уполномоченного должностного лица.

Несколько практических рекомендаций по подготовке к проверке Роскомнадзора:

  1. Назначить работника, ответственного за обработку ПД
  2. Разработать и утвердить локальный нормативный акт о защите ПД
  3. Ознакомьте всех работников с документами по работе с ПД.
  4. Ежегодно проверять график проведения плановых проверок на официальном сайте Роскомнадзора
  5. Привести в порядок все документы, регламентирующие работу с ПД, обращая внимание на условия информации и хранения документов (напр., материально-техническое оснащение помещений: замки на дверях, наличие сейфов для документов и пр.)
  6. Постоянно отслеживать изменения в законодательстве РФ по ПД
  7. Регулярно проводить внутренний аудит документов, содержащих ПД
  8. Установить алгоритм поведения с проверяющими (они должны получать информацию у представителя ЮЛ или ИП)
Читайте также:  Усыновление и опекунство: в чем разница

Согласно документу, у Роскомнадзора будет информация лишь о факте передаче данных через мобильный интернет, но сам трафик он отслеживать не сможет. Исходя из этого, абоненты, не желающие делиться с ведомством информацией о своих звонках, могут переключиться на использование мессенджеров.

Популярные в России сервисы, например, WhatsApp и Telegram, имеют встроенное сквозное (end to end) шифрование голосовых вызовов. Информацию о том, с кем пользователи ведут текстовую переписку, Роскомнадзор тоже не сможет узнать по запросу оператору связи – ему для этого нужно будет обращаться непосредственно к владельцам мессенджера.

К слову, Telegram российские власти пытались блокировать в апреле 2021 г., но сервис продолжал работать, и в июне 2021 г. «блокировка» была отменена. Также существуют специализированные мессенджеры, во главу угла ставящие именно приватность. В их число, помимо прочих, входит Signal.

  • Подобрать оптимальный виртуальный сервер VPS/VDS на ИТ-маркетплейсе Market.CNews
  • Короткая ссылка
  • Распечатать

Как подготовиться к проверке персональных данных Роскомнадзором

Есть несколько рекомендаций, позволяющих подготовиться к проверке организации защиты персональных данных быстро и эффективно.

Стоит правильно распределить внимание. Электронному документообороту едва ли будет уделено много внимания инспектором – такие проверки осуществляют другие организации. Инспектору будет сложно сориентироваться сразу в том комплексе программ, которые используются на предприятии.

Больше нужно следить за бумагами, особенно, копиями паспортов. Хранение копий в доступном месте мгновенно породит у инспектора много вопросов.

На предприятии должны храниться заполненными бланки «согласия сотрудника на обработку персональных данных» (название может немного отличаться). Если таких бумаг нет, то можно предположить, что личные данные о сотрудниках были получены руководителем просто незаконно.

Инспектор может провести опрос среди персонала на предмет того, знают ли они, какие меры предпринимает фирма для защиты их персональных данных.

Естественно, если сотрудники не смогут ничего пояснить по этому поводу, при заполнении итогового акта организация получит «минус». Лучший способ избежать такой ситуации для руководителя – провести предварительный инструктаж по охране личных сведений.

Проблема нехватки времени решается если, если очному обучению предпочесть дистанционные курсы бухгалтерского учета, пройти которые получится при помощи Интернета.

Для того чтобы избежать мошенничества со стороны распадающейся или уже распавшейся фирмы, предусмотрена специальная процедура проверки организации на банкротство о которой можно узнать из этой статьи.

Отнестись к проверке Роскомнадзора нужно серьезно – многочисленные нарушения в охране персональных данных сотрудников на предприятии грозят временным прекращением деятельности и отзывом лицензии, который может стать окончательным, если ошибки в срочном режиме не будут исправлены.

Также не стоит легкомысленно относиться к штрафам за нарушения – неуплата таких сумм, пусть даже и совсем небольших, грозит административным арестом руководителя и его задержанием на 15 суток.

Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»

Обработка персональных данных работника, государственного служащего не требует получения соответствующего согласия указанных лиц, при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством Российской Федерации о государственной гражданской службе.

Работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 Трудового кодекса РФ.

Кроме того, получение работодателем согласия на обработку персональных данных не требуется в следующих случаях:

1. Обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, предусмотрена законодательством Российской Федерации.

К примеру, согласно п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети Интернет, об осуществляемой медицинской деятельности и о медицинских работниках, об уровне их образования и об их квалификации.

В соответствии с Правилами размещения в сети Интернет и обновления информации об образовательном учреждении, утвержденными постановлением Правительства Российской Федерации от 18.04.2012 N 343, образовательное учреждение должно размещать на своем официальном сайте в сети Интернет и обновлять в сроки, установленные Законом Российской Федерации от 10.07.1992 N 3266-1 «Об образовании», в том числе информацию, содержащую следующие персональные данные: фамилия, имя, отчество учредителя образовательного учреждения, его место нахождения, график работы, адрес электронной почты, фамилия, имя, отчество руководителя образовательного учреждения, его место нахождения, график работы, адрес электронной почты, справочные телефоны, фамилии, имена, отчества, должности руководителей структурных подразделений, включая филиалы и представительства, места их нахождения, графики работы, адреса электронной почты, информация о персональном составе педагогических (научно-педагогических) работников, их фамилии, имена, отчества, занимаемые должности, их уровень образования, квалификация, наличие ученой степени, ученого звания.

Читайте также:  На машину упало дерево – что делать?

Соответствующие обязательства также установлены Федеральным законом от 09.02.2009 N 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», согласно которому государственные органы и органы местного самоуправления обязаны обеспечить доступ к информации о своей деятельности, в том числе к сведениям о руководителях государственного органа, его структурных подразделений, территориальных органов и представительств за рубежом (при наличии), руководителях органа местного самоуправления, его структурных подразделений, руководителях подведомственных организаций (фамилии, имена, отчества, должности, рабочие телефоны). Иная информация может указываться только при согласии указанных лиц.

2. Обработка персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой N Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 N 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).

В иных случаях, получение согласия близких родственников работника является обязательным условием обработки их персональных данных.

3. Обработка специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Федерального закона «О персональных данных» в рамках трудового законодательства.

4. При передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.

Работодатель, согласно ст. 22 Трудового кодекса Российской Федерации, обязан осуществлять обязательное социальное страхование работников в порядке, установленном федеральными законами, в частности Федеральным законом «Об обязательном пенсионном страховании в Российской Федерации, Федеральным законом «Об основах обязательного социального страхования, Федеральным законом «Об обязательном медицинском страховании в Российской Федерации».

Таким образом, передача персональных данных работников в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации осуществляется без их согласия.

Согласие работника, государственного служащего не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 25.04.1997 N 490, нормативными правовыми актами в сфере транспортной безопасности).

Под исключения, связанные с отсутствием необходимости получения согласия, подпадают случаи передачи работодателем персональных данных работников, государственных служащих в налоговые органы, военные комиссариаты, профсоюзные органы, предусмотренные действующим законодательством Российской Федерации.

Так, в соответствии со ст. ст. 17, 19 Федерального закона от 12.01.1996 N 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности» для осуществления своей уставной деятельности профсоюзы вправе бесплатно и беспрепятственно получать от работодателей, их объединений (союзов, ассоциаций), органов государственной власти и органов местного самоуправления информацию по социально-трудовым вопросам, в том числе осуществлять контроль за соблюдением работодателями, должностными лицами законодательства о труде, по вопросам трудового договора (контракта), рабочего времени и времени отдыха, оплаты труда, гарантий и компенсаций, льгот и преимуществ, а также по другим социально-трудовым вопросам в организациях, в которых работают члены данного профсоюза, и имеют право требовать устранения выявленных нарушений.

Согласие работника не требуется при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.

Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

Проверка Роскомнадзора: как подготовиться и избежать штрафов

Что проверяет Роспотребнадзор: как часто проводятся проверки

По законодательству оператором персональных данных считается любая организация, которая взаимодействует с людьми и их документами, т.е. под это определение подпадают все предприятия, где в штате больше одного человека. Проверка касается не только юридических лиц, но и ИП, в которых есть хотя бы один наёмный сотрудник, и даже физических лиц, если они работают с чужими карточкам.

Важно! Если документы содержатся в порядке, то специальной подготовки к ревизии Роскомнадзора не потребуется.

Подготовку лучше начать с того, что изучить план проверок Роскомнадзора на 2021 год. Если в нём нет нужной организации, значит, в этом году можно не бояться. О плановой проверке дополнительно приходит предупреждение за 3 дня до неё, но на всякий случай лучше держать документы в порядке постоянно.

Персональная карточка


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *