Проверка персональных данных роскомнадзором, фсб, иными органами: что это такое, какие документы запрашивают, а также как проводится аудит по обработке информации?

Здравствуйте! Сегодня мы обсудим еще один вид проверок, затрагивающий каждого работодателя, а именно инспекции Роскомнадзора. О том, как они проходят, и как к ним подготовиться, читайте в нашей статье.

Виды проверок

Процедура проверки во многом зависит от ее вида. Основные типы проверок:

1. Плановые. Их график составляется заранее, еще в конце предыдущего года, и публикуется на сайте. Кроме того, проверяемого предупредят письмом или лично как минимум за три дня до начала инспекции.
2. Внеплановые. Они инициируются после поступления жалоб от недовольных клиентов или даже от доноса конкурента. В зависимости от серьезности предполагаемого нарушения о проверке могут предупредить за сутки, а могут и не предупредить вовсе.
3. Документарные. Проверяется пакет документов, который по запросу предоставляется в контролирующий орган.
4. Выездные. Осматривается территория предприятия.

Что проверяет Роскомнадзор

Далеко не все знают, за какую область отвечает Роскомнадзор, или иначе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Роскомнадзор контролирует работу операторов любых персональных данных (сотрудников или клиентов).

Подконтрольными Роскомнадзору субъектами выступают все предприятия, большинство ИП и даже некоторые граждане, которые вне зависимости от объема, обрабатывают и собирают информацию о клиентах, сотрудниках и других гражданах.

Трудовой Кодекс РФ дает нам такое толкование термина: персональные данные — сведения, которые необходимо передать работодателю для осуществления служебных обязанностей. Например, это паспортные данные, номер телефона, адрес и даже факты биографии (образование, опыт работы, семейное положение).

Роскомнадзор проверяет:

1. Документы, включающие в себя персональные данные. Если проверка выездная – еще и условия их хранения, организацию места хранения. Собственно хранение данных на предприятии может быть физическим или электронным, Роскомнадзор проверяет оба метода;
2. Обрабатывающие их системы (компьютеры и программы);
3. Внутренние нормативные акты, касающиеся обработки и хранения персональных данных, и их практическое соблюдение;
4. Сайт компании в интернете. Например, предприятие могут оштрафовать, если на его сайте производится сбор персональных данных (для регистрации нужно вводить свое имя, номер телефона), но не размещены подробности дальнейшей работы компании с персональными данными.

Единого перечня документов, которые подвергаются проверке, не существует, но приблизительный список такой:

• Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав общества и прочие);
• Копия уведомления о намерении осуществлять работу с персональными данными (можно заменить выпиской из реестра операторов);
• Список персональных данных, собираемых и охраняемых вашей компанией;
• Список сотрудников, имеющих доступ к персональным данным, вместе с приказом об их допуске;
• Инструкции сотрудников, которые в ходе своей трудовой деятельности обрабатывают персональные данные и обеспечивают информационную защиту;
• Положение об ответственности работников за разглашение персональных данных и нарушение запрета доступа к ним;
• Положения о коммерческой тайне, о защите персональных данных, хранящихся на предприятии;
• Положения об особенностях обработки персональных данных, в том числе их обезличивания;
• Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности);
• Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи сотрудников по требованиям информационной безопасности);
• Соглашения о неразглашении персональных данных, подписанные всеми сотрудниками;
• Бланки согласия граждан на обработку их персональных данных;
• Журналы инструктажей сотрудников по вопросам информационной безопасности и прочих внутренних контрольных мероприятий режима защиты;
• Журналы учета всех носителей информации, а также средств защиты информационных систем.

Как подготовиться к проверке Роскомнадзора

Перед любой проверкой важна правильная подготовка. Давайте рассмотрим, какие мероприятия помогут не ударить в грязь лицом перед инспектором.

Проверка Роскомнадзора одна из самых сложных в плане подготовки. Данные – вещь нематериальная, для обеспечения безопасности их недостаточно положить в сейф под ключ. Нужно привести в порядок огромный пакет документов, и не удивительно, что сделать это самостоятельно, не упустив ничего из виду, задача не из легких.

Крупные операторы обычно не скупятся на содержание в штате фирмы специально обученного сотрудника, который следил бы за всеми бумагами, информационными системами и руководил подготовкой к проверке.

Для предприятий поменьше есть другой, но тоже недешевый вариант – нанять стороннего эксперта. Он поможет единожды систематизировать хранение и обработку персональных данных на фирме.

Если эти два варианта предпринимателю не по карману, придется все делать собственными силами.

Основной план подготовительных мероприятий выглядит так:

1. Убедитесь, что ранее вы подавали в Роскомнадзор уведомление об обработке персональных данных. Подавать его нужно прежде, чем начинать деятельность, и опоздание уже становится поводом для штрафа. На практике Роскомнадзору почти всегда удается доказать, что каждый работодатель является оператором персональных данных. Какие бы факты он ни приводил в доказательство обратного.
2. Проверьте, соответствует ли ваша текущая деятельность указанному в едином реестре. Уточните содержание заявления, которое вы ранее подавали в Роскомнадзор и при необходимости внесите в него изменения. Необходимую для этого форму можно скачать на сайте Роскомнадзора. Именно несоответствие этих данных и фактической деятельности выступает самой распространенной причиной штрафа от Роскомнадзора. Например, даже назначение другого ответственного за обработку персональных данных сотрудника уже становится основанием для штрафа.
3. Назначьте ответственного за обработку персональных данных, вместе с ним приступайте к подготовке всех документов, сопровождающих путь персональных данных от сбора, до хранения и уничтожения.
4. Обязательно оформите «Политику компании в отношении обработки персональных данных». Вы можете дать документу другое название, но суть в том, что он станет основополагающим сводом правил и инструкций в интересующем Роскомнадзор вопросе.
5. Подготовьте к проверке всех сотрудников. Ознакомьте их с документами по работе с персональными данными. Установите четкие правила поведения с инспекторами, если ожидается выездная проверка. Очень часто у проверяющих возникают вопросы к простым работникам. Отработайте с ними тактику «глухой защиты» – ничего не говорить, ничего не подписывать без присутствия руководителя. Вы действительно имеете на это право.
6. Проверьте, как и где вы храните бумаги, особенно ксерокопии паспортов, кто имеет к ним доступ.
7. Проверьте материально-техническое оснащение офиса: замки на важных помещениях, наличие сейфов для документов.
8. Воспользуйтесь специальными онлайн-сервисами для подготовки документов. Они бывают совсем бесплатными или коммерческими, но в любом случае дешевле офлайн специалиста. Особенно если вы практически не знакомы с законодательством о персональных данных, сервисы дадут исключительно актуальные подсказки по подготовке.

Как проходит проверка Роскомнадзора

Начинается проверка с уведомления проверяемого. В нем указываются сроки и реквизиты инициирующего приказа. Прилагаются, кроме того, копия самого приказа, план контрольных мероприятий.

Сначала проверяют документы. На предприятие отправляется запрос, на который необходимо ответить в течение 10 дней. Предприниматель предоставляет копии документов, заверенные подписью и печатью. Свидетельство нотариуса не требуется. Если в документах содержится вся необходимая для разъяснения ситуации информация, то до выездной инспекции дело не дойдет.

Но если в бумагах будут обнаружены ошибки или у инспектора останутся вопросы, то тогда он лично навестит предпринимателя. Посетителей должно быть минимум двое, они обязаны предъявить удостоверения и копии приказа о проведении проверки.

Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки.
Результат проверки можно обжаловать.

Сделать это можно как письменно, так и устно (например, в ходе личного приема или по телефону – подробности можно найти на сайте территориального органа Роскомнадзора).

Рассматривается жалоба в течение месяца.

Советы предпринимателям

Во время проверки:

1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
3. Не паникуйте;
4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Источник: https://kakzarabativat.ru/pravovaya-podderzhka/proverka-roskomnadzora/

Операторов обработки персональных данных начнут проверять по новым правилам

Как теперь будут проводиться проверки юрлиц и индивидуальных предпринимателей и как к ним подготовиться?

13 февраля 2019 г. Правительством РФ были приняты1 Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных (далее – Правила). Они вступили в силу 23 февраля и обязательны к применению Роскомнадзором, который и должен контролировать обработку таких данных.

Если вы собираете, храните и используете персональные данные, то мы рекомендуем вам ознакомиться с нововведениями в процедуре проведения плановых и внеплановых проверок, внесенными новыми Правилами.

Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных). Проверки операторов осуществляются согласно п. 1 Правил и ч. 1.1 ст. 23 Закона о персональных данных2.

В то же время из п. 6 Правил следует, что плановые проверки проводятся в отношении юридических лиц и индивидуальных предпринимателей. В отношении иных лиц, судя по всему, будут проводиться только внеплановые проверки.

Стоит учитывать, что на порядок осуществления таких проверок не распространяются положения Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»3 (п. 20 ч. 3.1 ст. 1 этого закона).

Это означает, что правительство вправе устанавливать иной порядок организации и проведения проверок, чем тот, который определен данным законом. Принятые Правила на данный момент в целом соответствуют Закону о проверках, но в последующем они могут быть изменены.

Оператору при этом необходимо будет руководствоваться именно положениями Правил, а не нормами Закона о проверках.

Ранее проверки и иные подобные мероприятия проводились на основании Административного регламента Роскомнадзора (далее – Регламент).

Он не был изменен и не утратил силу на момент подготовки данного материала. Однако применяться Регламент будет лишь в той части, которая не противоречит Правилам, поскольку они утверждены нормативным актом более высокого уровня. Можно ожидать, что Регламент будет приведен в соответствие с Правилами в ближайшее время.

Пунктом 33 Регламента установлено, что плановые проверки проводятся один раз в три года. Данный срок указан и в п. 6 Правил.

Кроме того, определено специальное правило в отношении операторов:

• обрабатывающих персональные данные в государственных информационных системах;
• осуществляющих сбор биометрических или специальных категорий персональных данных;
• осуществляющих трансграничную передачу персональных данных на территорию, на которой не обеспечивается адекватная защита прав субъектов;
• осуществляющих обработку персональных данных по поручению иностранного лица или органа власти, которые не зарегистрированы в России.

Плановые проверки таких операторов будут проводиться один раз в два года.

Сведения о проведении плановых проверок должны быть включены в ежегодный план, размещаемый Роскомнадзором на своем официальном сайте. Кроме того, о плановой проверке ведомство должно уведомить оператора не позднее чем за три рабочих дня до начала ее проведения. Сообщается об этом заказным письмом или по электронной почте, если ее адрес размещен на сайте оператора.

О проведении внеплановой проверки Роскомнадзор обязан уведомить оператора любым способом не позднее чем за 24 часа до начала ее проведения.

Пунктом 20 Регламента было установлено, что срок проведения плановых и внеплановых проверок не может превышать 20 рабочих дней и может быть продлен не более чем на 20 рабочих дней. Для субъектов малого предпринимательства были определены иные сроки проведения проверок: не более 50 часов для малого предприятия и не более 15 часов для микропредприятия.

Также установлено правило исчисления сроков проведения проверок операторов, действующих на территории нескольких субъектов РФ. Они исчисляются в отношении каждого филиала, однако совокупный срок проверки не может превышать более 60 рабочих дней (п. 18 Правил).

Регламентом предусмотрены следующие основания для проведения внеплановых проверок:

• неисполнение оператором выданного Роскомнадзором предписания об устранении нарушений;
• поступление в Роскомнадзор информации о причинении вреда жизни и здоровью граждан или возникновении угрозы причинения такого вреда вследствие ненадлежащего исполнения оператором своих обязанностей;
• приказ руководителя Роскомнадзора или его территориального подразделения, изданный в соответствии с поручением президента, правительства или прокуратуры.

В п. 8 Правил основания для проведения внеплановых проверок несколько изменены:

• они могут быть назначены после поступления в Роскомнадзор любых сведений о нарушении прав субъектов персональных данных, предусмотренных гл. 3 Закона о персональных данных. Например, если такой субъект сообщил об утечке информации;
• поручения президента и правительства, а также требования прокурора являются теперь самостоятельным основанием для проведения внеплановых проверок;
• они также могут быть назначены по решению руководителя Роскомнадзора на основании проведенных сотрудниками этого ведомства мероприятий по контролю без взаимодействия с операторами (о них далее).

Проверки могут проходить в двух формах – документарной (когда Роскомнадзор проверяет предоставленные оператором документы без личной явки к нему) и выездной (когда проверка осуществляется сотрудниками Роскомнадзора по месту нахождения оператора).

Документарными могут быть только плановые проверки (п. 25 Правил). В этом случае Роскомнадзор запрашивает у оператора интересующие документы, которые он обязан представить в течение пяти рабочих дней со дня получения запроса. Непредставление сведений является основанием для привлечения к административной ответственности (ст. 19.7 КоАП РФ).

Если в документах будут выявлены ошибки или неточности, Роскомнадзор направит дополнительный запрос. Ответ на него оператор должен дать в течение трех рабочих дней.

В противном случае Роскомнадзор вправе назначить выездную проверку.

Она осуществляется по месту нахождения оператора и не может проводиться в отношении физических лиц, не являющихся индивидуальными предпринимателями (п. 32 Правил).

Оператор обязан обеспечить сотрудникам Роскомнадзора все условия для проведения проверки, в том числе представить запрошенные ими документы. По итогам составляется акт проверки (п. 42 Правил). В случае выявления нарушений оператору выдается предписание об их устранении. Также он может быть привлечен к административной ответственности.

Правилами регламентирована новая форма осуществления контроля – это мероприятия, которые проводятся без взаимодействия с операторами. В их рамках осуществляются:

• проверка информации, размещенной оператором в интернете и СМИ, – например, сведений о политике обработки персональных данных;
• анализ информации, предоставленной оператором или полученной Роскомнадзором от органов государственной власти в рамках межведомственного взаимодействия, – например, сведений, указанных оператором в уведомлении об обработке персональных данных.

Основаниями для проведения данных мероприятий являются поручения президента, правительства или руководителя Роскомнадзора, а также поступление в Роскомнадзор информации от физических или юридических лиц, из интернета или СМИ о нарушении прав субъектов персональных данных или обязательных требований. Например, причиной такой проверки могут стать размещенные в СМИ сведения о допущенной оператором утечке персональных данных.

Следует учитывать, что Роскомнадзор в первую очередь обращает внимание на следующие моменты:

• было ли подано в Роскомнадзор уведомление об обработке персональных данных, которое требуется для включения в реестр операторов (ст. 22 Закона о персональных данных). Необходимо представить сведения о его направлении или сослаться на одно из оснований, позволяющих обрабатывать данные без уведомления Роскомнадзора. Перечень таких оснований предусмотрен ч. 2 ст. 22 Закона о персональных данных;
• если уведомление было подано – соответствует ли реальное положение дел данным, указанным в нем;
• соблюдены ли требования к неавтоматизированной обработке персональных данных: кто из сотрудников работает с ними, как хранятся документы;
• соблюдены ли требования к автоматизированной обработке данных (за исключением требований, связанных с безопасностью);
• утверждена ли политика обработки персональных данных. Если данные собираются через сайт компании – размещены ли сведения об этой политике на сайте;
• данные каких субъектов обрабатываются и на каком основании. Допустимые основания перечислены в ч. 1 ст. 6 Закона о персональных данных;
• если обработка осуществляется на основании согласия субъекта персональных данных – соблюдены ли требования закона к такому согласию (ст. 9 Закона о персональных данных);
• передаются ли персональные данные третьим лицам. Если да, соблюдаются ли требования закона, касающиеся передачи: наличие согласия субъекта; соответствующие условия в договоре с третьими лицами; требования, касающиеся трансграничной передачи данных;
• обрабатываются ли специальные категории персональных данных и биометрические данные. Соблюдены ли условия для такой обработки;
• соблюдаются ли требования о локализации персональных данных (ч. 5 ст. 18 Закона о персональных данных).

Если осуществляется внеплановая проверка в связи с поступлением в Роскомнадзор сведений о нарушениях прав субъектов персональных данных или если ведомство выявило такие нарушения в ходе проведения дистанционного контроля – рекомендуется заранее предоставить пояснения по выявленным нарушениям.

Следует учитывать, что утвержденные Правила не распространяются на контроль и надзор за обеспечением безопасности обработки персональных данных, которая осуществляется в информационных системах, установленных в соответствии со ст. 19 Закона о персональных данных. Контролируют выполнение этих требований закона ФСБ и ФСТЭК.

В этом случае оператору направляется требование об устранении нарушений, которое должно быть исполнено в течение 10 дней. Также может быть назначена внеплановая проверка.

Кроме того, оператор может быть привлечен к административной ответственности (ст. 13.11 КоАП РФ), если в его действиях будут выявлены признаки правонарушения в сфере персональных данных. Например, если станет известно, что оператор не опубликовал сведения о политике обработки персональных данных, то он может быть привлечен к ответственности по ч. 3 ст. 13.11 КоАП РФ.

Оператор может обжаловать действия проверяющих и их решения.

Жалоба направляется руководителю территориального подразделения Роскомнадзора или руководителю ведомства, если нарушения допущены сотрудниками центрального подразделения.

Жалоба может быть устной или письменной, в том числе в форме электронного документа, и должна быть рассмотрена должностным лицом в течение 30 дней со дня ее регистрации.

Акт проверки, составленный сотрудниками Роскомнадзора, может быть оспорен в досудебном порядке, описанном выше, либо в судебном порядке.

Привлечение оператора к административной ответственности может быть обжаловано в порядке, предусмотренном КоАП РФ.

1 Постановление Правительства РФ от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».

2 Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

3 Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Источник: https://www.advgazeta.ru/ag-expert/advices/operatorov-obrabotki-personalnykh-dannykh-nachnut-proveryat-po-novym-pravilam/

Все о проверках защиты персональных данных: кто, кого и как?

Какие органы проверяют выполнение требований закона о персональных данных? Какие бывают виды проверочных мероприятий в этой сфере и за какие нарушения наказывают с 1 июля 2017 года?  В нашей статье есть ответы на эти и другие вопросы, касающиеся абсолютно каждой организации.

• 1. Введение
• 2. Проверки Роскомнадзора
• 3. Проверки Государственной инспекции труда
• 4. Проверки ФСТЭК и ФСБ
• 5. Выводы

Введение

В марте 2017 года мы писали о том, какие Новые штрафы за нарушения законодательства о персональных данных появились в России.

1 июля вступили в силу поправки в КоАП РФ, значительно изменившие ситуацию с ответственностью за нарушения требований законодательства о персональных данных.

Помимо самих штрафов, изменения коснулись и порядка возбуждения дел об административных правонарушениях.

В этой статье мы систематизируем информацию о проверках в сфере персональных данных, обсудим основные моменты полномочий государственных органов, осуществляющих контроль и надзор в этой сфере, и обратим внимание на действия организаций, которые могут привести к внеплановым контрольным мероприятиям.

Прежде всего, поговорим об основных органах, которые могут осуществлять контроль и надзор в сфере персональных данных.

Проверки Роскомнадзора

Статья 23 федерального закона от 27.07.2006 «О персональных данных» №152-ФЗ выделяет два направления деятельности Роскомнадзора:

• защита прав субъектов персональных данных;
• контроль и надзор за соответствием обработки персональных данных требованиям законодательства.

Для выполнения этих функций указанная статья закона наделяет Роскомнадзор определенными полномочиями. Рассмотрим самые, на наш взгляд, важные из них.

Роскомнадзор:

• проверяет сведения, указанные организацией в Уведомлении;
• может требовать от оператора уничтожения недостоверных или полученных незаконным путем персональных данных;
• может ограничивать доступ к информации, обрабатываемой с нарушением законодательства;
• вправе обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять их в суде;
• наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении настоящего Федерального закона;
• обязан рассматривать жалобы и обращения по вопросам, связанным с обработкой персональных данных, а также принимать по ним решения в пределах своих полномочий.

На практике основные действия Роскомнадзора в соответствии с федеральным законом «О персональных данных» следующие:

• работа с обращениями и жалобами граждан;
• проведение контрольных и надзорных мероприятий;
• ведение Реестра операторов персональных данных.

Роскомнадзор рассматривает жалобы по закону от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации». Жалобы могут быть направлены как в письменном виде, так и через специальную форму на сайте Роскомнадзора или портала Госуслуг. Срок рассмотрения обращения — 30 календарных дней, за исключением случаев, установленных в законе.

Сейчас в Правительстве ждет утверждения проект нового Административного регламента. Но на данный момент Роскомнадзор проводит проверочные мероприятия на основании Административного регламента, утвержденного приказом Министерства связи и массовых коммуникаций РФ № 312 от 14.11.2011 года.

В рамках деятельности по контролю и надзору за порядком обработки персональных данных Роскомнадзор осуществляет плановые и внеплановые проверки.

Плановые проверки Роскомнадзора

Плановые проверки проводятся на основании ежегодного плана, с ним можно ознакомиться на сайтах территориальных управлений Роскомнадзора. План проверок на следующий год обычно размещают на сайтах территориальных управлений в середине декабря текущего года.

Так как с 1 сентября 2015 года Роскомнадзор не согласовывает планы проверок по персональным данным с Прокуратурой, то на сайте последней в сводном плане проверок по всем органам проверок по данной тематике нет.

Соответственно, проверить возможное присутствие вашей организации в плане проверок по персональным данным можно только на сайте вашего территориального управления Роскомнадзора. На сайте управления Роскомнадзора вам необходимо смотреть документ с названием «План деятельности Управления…».

Именно в этом документе среди планов мероприятий по другим видам деятельности можно найти план контрольно-надзорных мероприятий за соответствием деятельности операторов персональных данных.

Предметом проверки Роскомнадзора являются:

• деятельность по обработке персональных данных;
• документы, характер информации в которых предполагает или допускает включение в них персональных данных;
• информационные системы персональных данных.

Соответственно, Роскомнадзор не проверяет наличие и состояние технической защиты информационных систем персональных данных. Его главная задача — проверка правовых оснований обработки персональных данных.

Вопреки расхожему мнению, положения, инструкции, приказы и прочие документы не являются основным объектом проверок.

 Уполномоченный орган больше интересуют сами персональные данные и соответствие объема этих данных целям обработки.

В уведомлении о плановой проверке, как правило, написано, что проверяемое лицо должно представить:

• копию документа о назначении должностного лица или уполномоченного представителя, которое будет представлять интересы юридического лица на проверке;
• документы, характер информации в которых предполагает или допускает включение в них персональных данных. К таким документам Роскомнадзор обычно относит заявления, анкеты, журналы и пр.;
• документы, подтверждающие уничтожение персональных данных по достижению цели обработки. К сожалению, не все операторы персональных данных понимают, что в каждом случае обработки персональных данных есть (или должна быть) цель обработки, по достижению которой данные необходимо уничтожить;
• письменные согласия субъектов персональных данных на обработку их персональных данных;
• документы, подтверждающие соблюдение требований законодательства РФ при обработке персональных данных, в том числе специальных категорий и биометрических персональных данных;
• документы, подтверждающие место размещения баз (информационных систем) персональных данных. Это требование появилось, когда в законодательство внесли поправки о локализации персональных данных россиян;
• документы, подтверждающие ознакомление работников, непосредственно осуществляющих обработку персональных данных, с законодательством и локальными актами оператора по вопросам обработки персональных данных;
• локальные акты оператора, регламентирующие порядок и условия обработки персональных данных.

В план проверок включают юридических лиц, которые подали Уведомление об обработке персональных данных в реестр операторов, и тех, кто этого не сделал. То есть могут проверить всех. Срок проведения как плановой, так и внеплановой проверки не может превышать 20 рабочих дней.

Внеплановые проверки Роскомнадзора

Внеплановые проверки бывают документарные и выездные. Документарные проводятся в форме запроса Роскомнадзором необходимых документов и предоставления вами этих документов в срок, указанный в запросе. О проведении внеплановой проверки оператор уведомляется не позднее, чем за 24 часа до ее начала любым доступным способом. Обычно это делается по телефону или по факсу.

Такие проверки могут проводиться по следующим основаниям:

• если истек срок исполнения оператором ранее выданного предписания об устранении выявленного нарушения. Обычно после плановой проверки Роскомнадзор проводит внеплановую, чтобы выяснить, как устранено нарушение. Такая проверка редко бывает выездной. Она проводится в документарной форме, то есть Роскомнадзор запросит у вас сведения об устранении нарушений, а вы должны предоставить необходимые документы;
• если в службу или ее территориальные органы поступило обращение от граждан, юридических лиц, индивидуальных предпринимателей, информация от органов государственной власти, органов местного самоуправления, из средств массовой информации. В 2011 году в службу поступило примерно 1500 жалоб. В 2016 году — примерно 33 000;
• по приказу руководителя Роскомнадзора или руководителя территориального управления.

Мероприятия систематического наблюдения

Еще один вид контроля — мероприятия систематического наблюдения. В последние годы это самый популярный вид контроля за порядком обработки персональных данных.

Популярность таких мероприятий вызвана тем, что трудозатраты территориальных управлений на их проведение куда меньше плановых проверок, а эффективность намного больше.

За небольшой период времени каждое территориальное управление Роскомнадзора может проверить десятки или даже сотни интернет-сайтов. Результаты таких проверок мы видим постоянно на сайте уполномоченного органа, например:  https://74.rkn.gov.ru/news/news128102.htm

  При этом в плане вы не увидите конкретные адреса сайтов, которые будет проверять Роскомнадзор. В нем будут отражены только категории операторов и месяц проверки.

Например: операторы связи — апрель, государственные органы — май, страховые компании — июнь и так далее.

О том, что проверяют ваш сайт, вы узнаете только тогда, когда вам придет запрос по поводу найденного нарушения.

Самым популярным нарушением, выявляемым в ходе мероприятий систематического наблюдения, является отсутствие на сайте документа, определяющего политику оператора в отношении обработки персональных данных, если на сайте выявлен случай сбора персональных данных (например, формы заявки, регистрации или обратной связи с определенным набором запрашиваемых сведений).

Также Роскомнадзор может запросить правовые основания для размещения чьих-либо персональных данных. Такие запросы уже поступали, например, в образовательные организации, когда на их сайте размещали персональные данные о школьниках и их успехах в олимпиадах. Так что, размещая персональные данные своих работников или иных лиц на сайте, проконтролируйте соблюдение требований закона.

На что обратить внимание

Обработка персональных данных — это каждодневная деятельность любого юридического лица. Мы постоянно работаем с данными наших работников и клиентов (пациентов, студентов, покупателей, заявителей, пользователей сайта, заемщиков, страхователей, посетителей зрителей и пр.).

Одни и те же данные одного и того же человека мы обрабатываем в разных случаях. И взятое в одном случае согласие — на другой может не распространяться. Соответственно, чтобы предотвратить негативные последствия, мы должны обратить внимание на правовую основу обработки персональных данных в каждом конкретном случае обработки, т.

Соответственно, вас могут проверить в ходе мероприятий систематического наблюдения, или в случае, если какой-нибудь посетитель вашего сайта подаст на вас жалобу.

Также вами может быть недоволен ваш клиент или работник (бывший тоже может), которые имеют возможность пожаловаться в Роскомнадзор, и тот в свою очередь обязан на такие жалобы реагировать. Так что ваша задача — обеспечить правовую основу для каждого случая обработки.

Административная ответственность за нарушение законодательства в области персональных данных установлена статьей 13.11 КоАП РФ. Штрафы для юридических лиц за каждое нарушение, установленное статьей 13.11, варьируются от 15 000 до 75 000 рублей.

Провеки Государственной инспекции труда

В Трудовом Кодексе РФ 14 глава называется: «Защита персональных данных работника». Государственная инспекция труда проводит контрольно-надзорные мероприятия по поводу выполнения требований всего Трудового кодекса и, соответственно, не может обойти стороной главу 14.

На проверках обращают внимание на требование пункта 8 статьи 86: «работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области».

Таким образом, проверяют наличие такого документа и факт ознакомления с ним всех работников.

Административная ответственность за нарушение этих требований предусмотрена статьей 5.27. КоАП — штраф в размере от 30 000 до 50 000 рублей.

Провеки ФСТЭК и ФСБ

Статья 19 федерального закона «О персональных данных» устанавливает меры по обеспечению безопасности персональных данных при их обработке.

В части 3 статьи 19 сказано, что Правительство РФ устанавливает уровни защищенности персональных данных при их обработке в информационных системах персональных данных (далее — ИСПДн) и требования к защите персональных данных в ИСПДн. Таким образом, у нас появилось Постановление Правительства №1119 от 01.11.2012, определяющее эти требования.

В части 4 статьи 19 установлено, что состав и содержание необходимых для выполнения установленных Правительством требований, организационных и технических мер по обеспечению безопасности персональных данных, при их обработке в ИСПДн устанавливают ФСТЭК и ФСБ в рамках их полномочий. Во исполнение этого требования у нас появились:

Источник: https://www.anti-malware.ru/practice/solutions/personal-data-protection-checks-who-whom-and-how

Проверка Роскомнадзора по защите персональных данных: как подготовиться и избежать штрафов

Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года.

Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит.

Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Тем более что в настоящее время Госдума рассматривает законопроект о значительном увеличении штрафов за нарушения в обработке персональных данных.

Виды проверок Роскомнадзора

Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.

— Плановая проверка

О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит  уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.    

— Внеплановая проверка

Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

— Документарная проверка

В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.

— Выездная проверка

При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.

В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.

Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?

Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований.

Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять.

Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.

Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:

1. Для начала найдите в компании человека, который будет следить за выполнением законодательства в области персональных данных. Часто в компаниях малого и среднего бизнеса эта функция делегируется бухгалтеру, кадровику или юристу. Реже ее берет на себя руководитель. В крупных компаниях вопросами защиты информации может заниматься целый отдел.
2. Назначьте ответственного за организацию обработки персональных данных в компании. Скорее всего, это будет тот же человек, который  занимается вопросами персональных данных.
3. Изучите процесс обработки персональных данных в компании, например, какие персональные данные компания собирает, в каких целях. Компания может собирать персональные данные работников для выполнения трудового законодательства или данные клиентов для выполнения заключенных с ними договоров, ей также могут понадобиться персональные данные соискателей на вакантные должности. Возможно, компания передает эти данные в другую организацию,  например, данные сотрудников в бухгалтерию.
4. На основе полученной информации разработайте пакет документов, включающий политику компании в отношении обработки персональных данных, положение по неавтоматизированной обработке, приказ о назначении ответственных и ряд других положений, приказов, инструкций и актов. Разработанные документы необходимо утвердить.
5. Обязательно ознакомьте с утвержденными документами всех работников, которые имеют к ним отношение. Например, с положением по неавтоматизированной обработке нужно ознакомить только тех работников, которые работают непосредственно с бумажными документами, содержащими персональные данные.
6. Основной документ — политику компании в отношении обработки персональных данных — разместите в общедоступном месте, чтобы каждый желающий мог ее прочесть. Лучше всего копию документа разместить на информационном стенде. Если у компании есть сайт, на котором собираются персональные данные пользователей, например, ФИО, телефон и e-mail для регистрации, то на сайте также нужно разместить политику, причем в том месте, где она будет заметна пользователю.
7. Подайте уведомление в Роскомнадзор об обработке персональных данных. Уведомление оформляется в двух видах — электронном и печатном. 

Чтобы выслать уведомление в электронном виде, нужно на сайте Роскомнадзора заполнить электронную форму. После отправки электронного уведомления, распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.

В течение 30 дней Роскомнадзор рассмотрит ваше уведомление и добавит компанию в реестр операторов. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона №152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.

Проверка Роскомнадзора: на что обращают внимание инспекторы?  

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Какие персональные данные можно обрабатывать без уведомления:

1. данные, которые обрабатываются в соответствии с трудовым законодательством;
2. данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3. данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4. данные, сделанные субъектом персональных данных общедоступными;
5. данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
6. данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7. данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8. данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
9. данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.

Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных.

К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует  обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.

В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.

В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами.

Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны.

Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

• Елена Республиканская
• Чего ждать бизнесу от закона о хранении персональных данных?
• 5 базовых принципов закона о персональных данных, о которых нужно знать  

Источник: https://kontur.ru/articles/1775

Утвержден новый порядок проведения проверок Роскомнадзором — Право на vc.ru

13 февраля 2019 года было принято постановление правительства РФ № 146, которое устанавливает Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных (далее — Правила).

Данные правила определяют порядок проведения проверок индивидуальных предпринимателей и юридических лиц, а также порядок осуществления надзора за операторами персональных данных. Правила не распространяются на контроль и надзор за выполнением организационных и технических мер согласно ФЗ «О защите персональных данных», ст. 19 Закона.

Данные Правила определяют порядок действий:

— Кто попадает под плановые проверки;

— Основания проведения внеплановых проверок;

— Порядок проведения проверок;

— Порядок проведения документарных проверок;

— Порядок проведения выездных проверок;

— Порядок обжалования результатов проведения проверки;

Кто попадает под плановые проверки?

Запланированные проверки производятся в соответствии с ежегодными планами проверок, которые размещаются на официальных сайтах государственных органов.

Ознакомиться с планом проверок Роскомнадзора на 2019 год можно здесь.

Правила также устанавливают возможность проведения плановых проверок не чаще 1 раза в 2 года в следующих случаях:

— При обработке биометрических персональных данных или специальных категорий персональных данных;

— При трансграничной передаче персональных данных в страны, не обеспечивающие адекватную защиту прав субъектов. Список таких стран.

— При обработке персональных данных по поручению иностранного государства.

Основания проведения внеплановых проверок

Правила содержат исчерпывающий перечень оснований для инициирования процедуры проведения внеплановой проверки:

— В случае неисполнения или частичного исполнения предписания Роскомнадзора;

— Согласно поручению президента РФ или правительства РФ;

— Согласно требованию прокурора об осуществлении внеплановой проверки;

— По решению руководителя Роскомнадзора при проведении мероприятий по контролю за операторами без взаимодействия с ними;

Следует отметить, что проведение выездной проверки без согласования с прокуратурой невозможно, если проверка инициирована на основании жалоб граждан или по решению оператора в соответствии с результатами контрольных мероприятий.

Порядок проведения проверок

Проверки производятся в документарной (запрос документов) или выездной форме. Документарные проверки не могут быть внеплановыми. Все проверки проводятся на основании приказа, изданного должностным лицом.

Роскомнадзор должен уведомить оператора о проведении плановой проверки не позднее чем за 3 рабочих дня до даты ее начала, путем направления приказа заказным письмом или отправкой документа на адрес электронной почты.

При проведении внеплановой проверки Роскомнадзор должен уведомить оператора не менее чем за 24 часа до ее начала.

В отношении чего проводится проверка?

Проверка проводится в отношении документов и локальных актов оператора, указанных в ст. 18.1. ФЗ «О защите персональных данных», а также в отношении принимаемых мер оператором персональных данных.

Дополнительная информация по данному вопросу доступна в открытых источниках в интернете.

Какой срок проведения проверки?

Срок проведения плановой проверки составляет 20 рабочих дней, может быть продлен еще на 20 рабочих дней.

Срок проведения внеплановой проверки составляет 10 рабочих дней, может быть продлен еще на 10 дней.

Если проверка проводится в отношении организации, которая осуществляет деятельность на территории нескольких субъектов, то для каждого филиала устанавливается свой срок, при этом общий срок проведения проверки для компании не может превышать 60 рабочих дней.

На основании чего сроки проверки продлеваются?

— Если в ходе проверки контролирующим органом будут получены данные, свидетельствующие о нарушении оператором закона о персональных данных;

— При возникновении обстоятельств непреодолимой силы в месте проведения проверки (пожар, затопления и т.д.);

— В случае непредоставления оператором документов, запрашиваемых контролирующим органом в ходе проверки;

— При затруднениях в связи с большим объемом проверяемых данных или сложностью технологических процессов обработки.

Порядок проведения документарных проверок

Документарная проверка проводится только при проведении плановой проверки посредством анализа запрашиваемых документов.

Многие коллеги зачастую неправильно расценивают запросы, направленные оператору в рамках ФЗ «О порядке рассмотрения обращений граждан РФ» по существу вопросов, указанных в обращении с документарной проверкой.

Еще раз обращаю внимание, что эти запросы не являются документарной проверкой!

Сроки проведения документарной проверки

В ходе проведения документарной проверки Роскомнадзору необходимо предоставлять документы в течение 5 рабочих дней с момента получения запроса. При этом, моментом получения таких документов будет являться дата с отметкой органа о получении.

Таким образом, на оператора возлагается ответственность за соблюдение сроков, даже при отправке документов почтой.

Однако, Правилами предусмотрена возможность предоставления документов в электронной форме, подписанных усиленной электронной цифровой подписью.

Порядок проведения выездных проверок

Сразу скажу, что выездные проверки в отношении Операторов-физических лиц, не являющихся индивидуальными предпринимателями, не проводятся.

Выездная проверка должна начинаться:

— с предъявления служебного удостоверения должностного лица;

— c ознакомления с приказом о назначении выездной проверки и полномочиями должностных лиц, а также целями, задачами и основаниями проведения выездной проверки.

До начала проведения процедуры должностные лица должны предъявить письменный запрос о предоставлении документов и информации, необходимых для проверки.

Предоставляемые документы должны быть заверены печатью организации и подписью руководителя организации.

Если, какие-либо документы отсутствуют или их невозможно предоставить, то оператор обязан дать письменные пояснения по этому обстоятельству.

Важно оказывать содействие должностным лицам Роскомнадзора при проведении выездной проверки в т.ч. по предоставлению доступа к помещениям оператора или оборудованию, через которое может производится обработка персональных данных.

В противном случае проверяющая сторона может составить акт о воспрепятствовании проведению выездной проверки.

На основании такого акта могут быть привлечены сотрудники правоохранительных органов для оказания содействия в проведении проверки.

Сроки проведения выездной проверки

В случае воспрепятствования проведению выездной проверки, контролирующий орган может приостановить проведение проверки на срок не более одного месяца с момента составления акта. Если причины приостановки не устранены, то Роскомнадзор в праве составить акт о невозможности проведения проверки.

При таких обстоятельствах, проверяющий орган в праве провести плановую и внеплановую выездную проверку в течение 3 месяцев без предварительного уведомления оператора.

Результаты проведения проверки

Тут все просто. По результатам проверки устанавливается факт отсутствия нарушений либо их наличие с указанием нормативных актов, которые были нарушены.

Эти обстоятельства фиксируются в акте проверки, который составляется в двух экземплярах.

Если оператор уклоняется от подписания акта, то в нем делается соответствующая отметка, акт проверки направляется оператору на обычную или электронную почту в 10-дневный срок со дня подписания.

К акту должны быть приложены протоколы, справки, пояснения оператора и иные документы подтверждающие результаты проверки.

Спорный акт можно обжаловать во внесудебном порядке в вышестоящий орган Роскомнадзора, либо в судебном порядке с соблюдением правил подсудности.

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

Источник: https://vc.ru/legal/59122-utverzhden-novyy-poryadok-provedeniya-proverok-roskomnadzorom