Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Проверка Роскомнадзора: как к ней подготовиться, чтобы избежать штрафов». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Сейчас такой срок будет составлять 6 месяцев со дня выдачи предписания об устранении нарушения. Проверяемый обязан будет уложиться в этот срок. В противном случае, ему грозит административная ответственность за невыполнение в срок законного предписания, предусмотренная ст. 19.5 Кодекса об административных нарушениях РФ.
Кроме того, Роскомнадзор теперь может потребовать от оператора приостановить обработку персональных данных, в том случае, если не будет выполнено предписание по устранению нарушений.
Как проходит проверка
Как правило, проверка начинается со встречи специалистов со стороны компании и проверяющих, изучения документов и нескольких серий вопросов и ответов. Четкого регламента этого мероприятия не существует, поэтому многое зависит от самих проверяющих.
Вы можете столкнуться с «усталыми» аудиторами, у которых за плечами множество подобных проверок. Если они не наткнутся на что-то непонятное, то скорее всего ограничатся минимумом бумаг и пояснений.
С другой стороны, молодые специалисты, которые карабкаются по карьерной лестнице, бывают намного дотошнее и глубже разбираются в информационных технологиях. Они не поленятся изучить архитектуру баз данных или лично заглянуть в серверную. Особенно любят вникать в технические вопросы сотрудники ФСТЭК и ФСБ.
Что бы они ни делали инспекторы, вы имеете право присутствовать при проверке и интересоваться ее ходом. Это очень полезная возможность. Держите руку на пульсе. Своевременные разъяснения помогают избавиться от множества проблем.
Если вы не согласны с выводами проверяющих, можете что-то добавить или предоставить дополнительные бумаги, стоит делать это в процессе проверки, до составления итогового акта. Это объемный и трудоемкий документ, поэтому проверяющие очень неохотно вносят в него исправления.
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Другие меры реагирования
Роскомнадзор выступает гарантом соблюдения оператором требований законодательства об обработке персональных данных. Если гражданин узнал о нарушении своих прав, он может обратиться в ведомство.
Оно обязано своевременно отреагировать на следующие обращения:
- обработка персональных данных без согласия;
- незаконный запрос сведений о судимости, что разрешено только государственным и муниципальным органам;
- несоответствие целей использования ПД ранее заявленным;
- передача данных третьим лицам для обработки или в других целях без получения согласия гражданина;
- разглашение данных, например, в СМИ;
- неуничтожение персональных данных в случаях, предусмотренных законом. Так, банк обязан уничтожить все сведения о лицах, которым было отказано в кредите, в течение трех дней после отказа;
- отказ блокировать, уточнить или уничтожить ПД;
- отказ оператора ПД сообщить, какие документы и сведения о гражданине находятся в его распоряжении.
Подготовиться к проверке можно, возложив обязанности по контролю за соответствием обработки персональных данных законодательству на службу внутреннего контроля. Указав в положении о службе функции по проверке, можно рассчитывать, что она будет проводиться в постоянном режиме и компания окажется готовой к визиту ревизоров.
Если таких полномочий у службы внутреннего аудита нет, проверка проводится специально созданной комиссией, при необходимости в ее состав включаются внешние эксперты. Это особенно актуально, если компании предстоит проверка ФСТЭК.
Дополнительно к общим принципам проведения проверки защиты прав субъектов персональных данных в ее объем должны войти:
- контроль используемого программного обеспечения с точки зрения наличия сертификатов ФСТЭК РФ и сроков их действия, легитимности приобретения, наличия документов об оплате;
- наличие работающей системы разграничения прав доступа пользователей к информационным массивам, содержащим персональные данные;
- ведение журнала учета действий пользователей.
Штрафы за неуведомление Роскомнадзора
Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).
Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.
Проверки Роскомнадзора
Статья 23 федерального закона от 27.07.2006 «О персональных данных» №152-ФЗ выделяет два направления деятельности Роскомнадзора:
- защита прав субъектов персональных данных;
- контроль и надзор за соответствием обработки персональных данных требованиям законодательства.
Для выполнения этих функций указанная статья закона наделяет Роскомнадзор определенными полномочиями. Рассмотрим самые, на наш взгляд, важные из них.
Роскомнадзор:
- проверяет сведения, указанные организацией в Уведомлении;
- может требовать от оператора уничтожения недостоверных или полученных незаконным путем персональных данных;
- может ограничивать доступ к информации, обрабатываемой с нарушением законодательства;
- вправе обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять их в суде;
- наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении настоящего Федерального закона;
- обязан рассматривать жалобы и обращения по вопросам, связанным с обработкой персональных данных, а также принимать по ним решения в пределах своих полномочий.
На практике основные действия Роскомнадзора в соответствии с федеральным законом «О персональных данных» следующие:
- работа с обращениями и жалобами граждан;
- проведение контрольных и надзорных мероприятий;
- ведение Реестра операторов персональных данных.
Роскомнадзор рассматривает жалобы по закону от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации». Жалобы могут быть направлены как в письменном виде, так и через специальную форму на сайте Роскомнадзора или портала Госуслуг. Срок рассмотрения обращения — 30 календарных дней, за исключением случаев, установленных в законе.
Что такое персональные данные
Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.
Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.
Важно! Если согласия нет, могут последовать наказания – штрафы, блокировка сайта, приостановка работы, отзыв лицензии.
Все должно храниться в сейфе
Зависимость частоты и подробности проверок от категории риска
Как и в случае с иными типами проверок по Закону № 248-ФЗ, предусмотрены высокий, значительный, средний, умеренный и низкий риски. В Приложении к Положению приведены критерии отнесения предприятий к той или иной категории риска. В числе ключевых критериев — соответствие вида деятельности фирмы одной из групп тяжести потенциального нарушения требований — А, Б, В или Г, а также группе вероятности нарушения требований — 1, 2, 3 или 4.
Как следует из Приложения, самые строгие проверки будут проводиться в отношении фирм с группой тяжестью А и вероятностью 1, наименее строгие — к фирмам с тяжестью Г и вероятностью 4. Профилактическое мероприятие в виде обязательного профилактического визита проводится с учетом положений ст. 52 Закона № 248-ФЗ в отношении объектов контроля с высоким и значительным риском (п. 30 Положения).
Частота плановых контрольно-надзорных мероприятий в зависимости от категории риска определена положениями п. 12 Положения по постановлению № 1046. Например, по высокому риску частота инспекционного визита или выездной проверки — 1 раз в 2 года. По умеренному возможны документарная или выездная проверка с частотой 1 раз в 6 лет. При низком риске плановые мероприятия не проводятся. Чуть позже мы рассмотрим подробнее сроки проведения каждого типа контрольно-надзорных и профилактических мероприятий.
Плановые мероприятия, предусматривающие взаимодействие Роскомнадзора и проверяемого лица, согласуются с Прокуратурой (п. 38 Положения). Есть также мероприятия без взаимодействия — если они плановые, то с Прокуратурой их согласовывать не нужно. О них также чуть позже.
В отношении, в свою очередь, внеплановых проверок предусмотрены специальные индикаторы риска, установленные приказом Минцифры России от 15.11.2021 № 1187. Они используются при принятии решения о проведении и выборе вида внепланового контрольного (надзорного) мероприятия (ч. 9, 10 ст. 23 Закона № 248-ФЗ). Соответствующих индикаторов два:
- установление Роскомнадзором в течение года 10 и более фактов несоответствия сведений, предоставленных фирмой по запросу в ведомство;
- установление Роскомнадзором в течение года 10 и более актов предоставления неограниченному кругу лиц доступа к базам ПД или распространения таких баз данных через интернет.
Уведомление оператора персональных данных
Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:
- уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
- уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
- персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).
Что работодатель должен и не должен знать о работнике
В Трудовом кодексе РФ нет конкретного перечня сведений, относящихся к персональным данным работника. Равно как и нет его и в Законе «О персональных данных». В этом документе есть только их Определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
Соответственно, в законодательстве отсутствует список сведений, которые работодатель вправе собирать и хранить в отношении каждого работника.
Вместе с тем в ст. 65 ТК РФ приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу. По этим документам можно понять, какие сведения о работниках компания получает, и соответственно, имеет право обрабатывать, а каких сведений в ее распоряжении оказаться не должно.
Что у компании должно быть
Итак, при приеме на работу работодатель получает персональные данные работника, а именно:
- Ф.И.О., возраст, место жительства, семейное положение (из паспорта);
- трудовой стаж и предыдущие места работы (из трудовой книжки);
- регистрация в органах ПФР (из карточки СНИЛС);
- отношение работника к воинскому учету (из документов воинского учета);
- образование и квалификация (из дипломов, аттестатов, свидетельств об образовании);
- судимость (из справки о ее наличии или отсутствии);
- употребление наркотиков (из справки, подтверждающей или опровергающей этот факт).
Данные клиентов из Интернета можно использовать без уведомления Роскомнадзора
Роскомнадзор провел проверку в компании, выявил несколько нарушений при работе с персданными и выдал предписание об устранении нарушений.
Компания оспорила это предписание и выиграла суд по всем пунктам.
Почему – читайте в таблице.
ТАБЛИЦА: «Пять законных способов работы с персданными»
| Действия компании по работе с персональными данными | Позиция Роскомнадзора | Позиция компании и судов |
|
При оформлении заказа на сайте интернет-магазина клиенты указывают свои персданные, необходимые для доставки заказа. Данные сведения компания обрабатывает в информационной системе «1С:Предприятия (Магазины)» |
Компания обязана уведомлять Роскомнадзор об обработке персональных данных такими способами, поскольку она проводится с использованием информационных систем. Поэтому не подпадает под исключения, предусмотренные ч. 2 ст. 22 закона о персональных данных |
Частью 2 ст. 22 закона о персданных № 152-ФЗ прямо предусмотрен перечень из 9 случаев, когда фирма освобождается от обязанности представлять в Роскомнадзор уведомление об обработке персданных. Одним из таких случаев (п. 2) является обработка личных данных, полученных оператором в связи с заключением договора, стороной которого является субъект этих данных, если они не распространяются и не предоставляются третьим лицам без согласия субъекта и используются только оператором. Способ, которым обрабатываются персданные, – без использования средств автоматизации или с использованием информационных систем – не имеет правового значения. Поэтому в силу п. 1 ч. 2 ст. 22 закона № 152-ФЗ о персданных уведомлять Роскомнадзор в данном случае не требуется |
|
Используется система «1С:Зарплата и управление персоналом 8» |
Указанные системы используются компанией в рамках трудовых договоров, заключенных с работниками. При этом абз. 17 ст. 22 ТК РФ закреплена обязанность работодателя выплачивать работникам зарплату в полном размере и в установленные сроки. Статья 91 ТК РФ обязывает работодателя вести учет времени, отработанного каждым сотрудником. Таким образом, использование указанных систем подпадает под исключение, предусмотренное п. 1 ч. 2 ст. 22 закона о персональных данных, то есть обработка таких данных осуществляется в соответствии с трудовым законодательством |
|
|
Используется система БСУВ «Биометрическая система учета времени» |
||
| В ходе подбора персонала компания размещает вакансии на сайтах в сети Интернет, а полученные резюме в электронном виде хранит на рабочих компьютерах в отделе подбора персонала |
Компания обязана уведомлять Роскомнадзор об обработке персданных таким способом, так как работа по подбору персонала не регулируется трудовым законодательством. В связи с этим обработка личных данных не подпадает под исключения ч. 2 ст. 22 закона о персданных |
Трудовые и иные непосредственно связанные с ними отношения регулируются не только кодексом, но и другими нормативными актами (ст. 5 ТК РФ). Правоотношения между кандидатом и будущим работником регулируются законом о занятости населения. Из него следует, что работодатели должны содействовать проведению госполитики занятости населения, оказывая помощь в трудоустройстве. При этом они вправе принимать на работу граждан, непосредственно обратившихся к ним, на равных основаниях с теми, кто имеет направление органов службы занятости (ч. 1, ч. 3.1 ст. 25, ч. 1 ст. 26). Таким образом, работодатель вправе обрабатывать персданные кандидатов на вакансии и сохранять их резюме, как в бумажном, так и в электронном виде, формируя базу соискателей при наличии письменного согласия кандидатов |
Особенности проверки Роскомнадзором защиты персональных данных на предприятии
Соблюдение норм действующего законодательства является ключевой обязанностью работодателя. Если знать законодательные нормы и неукоснительно им следовать, вопрос подготовки к визиту Роскомнадзора можно свести к минимуму.
Предпринимателю не стоит паниковать, потому как у проверяющих существует свой регламент. Важно знать, что перед инспекцией представителями Роскомнадзора должно быть направлено уведомление. В нём должны содержаться сведения о нормативной базе, на которой базируется проверка, её цель, сроки и план проверочных мероприятий.
По прибытии сотрудников Роскомнадзора важно проверить их служебные удостоверения. Предприниматель также имеет право записать сведения о проверяющих в специальный журнал.
Перед выездной проверкой Роскомнадзор направляет письменный запрос, в котором указывает перечень интересующих документов. Ответить на него следует в течение 10 рабочих дней и если у проверяющих не возникнет вопросов касательно качества и полноты представленной документации, то необходимость выезда может вовсе исчезнуть. Если Роскомнадзор всё же решает провести выездную проверку, то обычно такое мероприятие длится не более 20 рабочих дней.
Итогом комплексной инспекции является специальный акт, составляемый представителями Роскомнадзора. Если на предприятии выявляются нарушения, то в него включается предписание на их устранение.
Роскомнадзор: что проверяет и на что обращает внимание
Мероприятия по охране труда: план на предприятии
В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.
При плановой ревизии важно:
- какие именно данные обрабатывает компания;
- кто отвечает за обработку;
- где можно ознакомиться с политикой компании (в том числе на сайте);
- кому передаются данные;
- как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
- как хранятся документы, и как контролируется доступ в этих помещениях;
- насколько всё перечисленное соответствует заявленному в документах.
Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.
Что такое персональные данные
Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.
Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.
Важно! Если согласия нет, могут последовать наказания – штрафы, блокировка сайта, приостановка работы, отзыв лицензии.
Все должно храниться в сейфе
Что именно будут проверять
Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.
СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.
Роскомнадзор осуществляет контроль над следующими направлениями:
- Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
- Системы, осуществляющие обработку данных (ПК и программы).
- Наличие локальных нормативных актов.
- Исполнение положений этих актов.
- Сайт организации.
Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.
Как осуществляется проверка
Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.
Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.