Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Профилактический визит Роскомнадзора. Стоит ли бояться?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.
Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.
В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.
Как проверяет Роскомнадзор?
Существуют плановые и внеплановые проверки, которые проводятся как в отношении тех организаций, которые включены в реестр Роскомнадзора, так и тех, что не включены. Плановые проверки более безобидные, так как о том, что вас проверят, оповестят заранее (не позднее чем за три дня), а по внеплановым проверкам — всего за 24 часа. Роскомнадзор в конце каждого года публикует на своем сайте план проверок на следующий календарный год и проверяет в соответствии с ним.
Для организации все начинается с уведомления, которое приходит по почте России. В нем Роскомнадзор уведомляет о намерении проверить и кратко сообщает, что именно будет проверять. Также в уведомлении сообщается состав проверочной комиссии, дата и срок выездной проверки. Срок проверки обычно составляет 20 рабочих дней, но это не значит, что все 20 дней у вас будет сидеть комиссия, а говорит лишь о дедлайне проверки. Комиссия, как правило, приезжает всего 2-3 раза: первый раз — запросить документы, второй раз — забрать документы и третий раз — выдать акт о проверке с замечаниями и предписанием на устранение нарушений. Нередко сразу выписываются протоколы об административных правонарушениях.
По факту объем запрашиваемых документов и методика самой проверки сильно варьируются в зависимости от того или иного территориального управления Роскомнадзора.
Кратко порядок проверки выглядит так:
- Уведомление оператора о проведении плановой проверки путем направления копии приказа руководителя Роскомнадзора о проверке почтой России. Уведомление должно поступить оператору не позднее трех рабочих дней до начала ее проверки (при плановой проверке), что очень мало, чтобы успеть к ней подготовиться.
- Далее в указанный в уведомлении день проверки приезжает комиссия, как правило, в составе 2-3 человек для осуществления государственного контроля.
- На месте проверки комиссия запрашивает и рассматривает документы, имеющиеся у оператора «под рукой», и выдает список документов для предоставления оператором до окончания срока проверки. Непредоставление оператором запрошенных документов расценивается как несоответствие требованию закона, и выписывается штраф, а также предписание на устранение нарушений.
- По результатам рассмотрения представленных оператором к проверке документов Роскомнадзор составляет акт проверки, предписание об устранении выявленных нарушений, а также протоколы об административных нарушениях в отношении оператора.
- По окончании срока предписания об устранении выявленных нарушений назначается повторная внеплановая проверка. В случае неустранения нарушений деятельность организации приостанавливается.
Что могут проверить представители Роспотребнадзора
Среди контролирующих органов объемы проверок Роспотребнадзора самые больше. Строго говоря, они могут посмотреть все, что прямо или косвенно относится к обслуживанию покупателей или клиентов. И даже больше: в ряде случаев их права могут пересекаться с работой полиции, налоговой, МЧС и других ведомств. Список пунктов исчисляется сотнями, перечислить все в рамках одной статьи невозможно.
Что проверяют чаще всего:
- помещения: как они оснащены, используются ли по назначению (например, крепкий алкоголь нельзя продавать в помещениях площадью менее 55 квадратных метров);
- товары, особенно если речь идет о продуктах питания, лекарствах, алкоголе и так далее: аптеки, продуктовые магазины и алкомаркеты проверяют чаще других;
- порядок трудоустройства сотрудников;
- соблюдение санитарно-эпидемиологических норм;
- соблюдение закона о защите прав потребителей;
- квалификацию сотрудников — медицинские книжки, прохождение осмотров и так далее;
- торговое оборудование: холодильники витрины, полки, стеллажи, оснащение склада;
- наличие и соблюдение программы производственного контроля;
- оформление уголка посетителей;
- документы на товар, оборудование;
- нормы обслуживания покупателей и многое другое.
Как проходит проверка
Предупреждают за 3 дня, после чего приходят, показывают служебное удостоверение и вручают копию приказа о проведении проверки. Там должны быть указаны:
- время и место проверки: наименование организации или магазина, его адрес и учредительные данные (ИНН, ОГРН (ОГРНИП) и так далее);
- фамилии, имена и отчества инспекторов, проводящих проверку;
- предмет проверки: что конкретно и в каком объеме проверяют;
- основание проверки: жалоба покупателя, подошедший срок плановой проверки;
- сроки проведения проверки. Плановые мероприятия не могут продолжаться более 20 дней;
- другая информация, установленная нормативными документами.
Проверка Роскомнадзора — как заранее узнать о проведении проверки?
Посмотреть планируется ли плановая проверка в отношении Вашей организации достаточно легко. Эта информация ежегодно публикуется в едином реестре проверок Роскомнадзора и является общедоступной.
В соответствии с Постановлением Правительства №146 от 13 февраля 2019 г. «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» плановые проверки по общим правилам проводятся не чаще одного раза в 2 года со дня окончания его последней плановой проверки. О начале проведения проверки контролирующий орган должен уведомить организацию в срок не позднее, чем за три рабочих дня до начала ее проведения, направив копии приказа заказным почтовым отправлением с уведомлением о вручении, или посредством направления электронного документа, подписанного усиленной квалифицированной электронной подписью уполномоченного должностного лица.
Роскомнадзор постучался в дверь – с чего начнется проверка Роскомнадзора в 2020 году
В этом году к нам обратился клиент за сопровождением их организации при прохождении проверки Роскомнадзора и за предварительным аудитом процессов работы с персональными данными в компании. На их примере мы и рассмотрим, как проходила проверка и какие подводные камни встретились нам при ее прохождении.
Обычно проверка Роскомнадзора проходит в три этапа. Как же прошла у нас проверка на практике?
На практике понедельник начался со стука в дверь контролирующего органа и предъявления служебного удостоверения участника проверки. Совместно с удостоверением сотрудник вручил нам заверенную копию приказа о проведении проверки, который заранее был утвержден комиссией и сделал запись в журнале проверок юридического лица.
Как правило, на следующем шаге, большинство организаций зарабатывают минус к карме и запись в справке о результатах проведения проверки. Мы же с компанией заранее постарались предусмотреть все тонкости, а именно: встретить проверяющую комиссию уполномоченным лицом, которое представляет интересы оператора персональных данных при проведении проверки с соответствующим распоряжением и доверенностью на право представления юридического лица при проверке. Таким лицом в организации, как правило, является человек ответственный за организацию обработки персональных данных, понимающий процессы работы с персональными данными внутри компании, например, руководитель организации, исполнительный директор и др.
После официального знакомства комиссия вручила нам письменный запрос на предоставление перечня документов для проверки, исходя из данных, заявленных в уведомлении о начале обработки персональных данных. Обратите внимание, документ должен быть подписан председателем комиссии, а запрашиваемая информация должна быть строго в соответствии с информацией в документе.
Так же рекомендуем скрупулезно подойти к отражению действительности по обработке персональных данных при отправке уведомления в Роскомандозор, поскольку в документе должны быть четко отражены цели обработки персональных данных, категории обрабатываемых персональных данных, сроки обработки персональных данных и другие важные моменты работы вашей компании. В этом случае надеяться на русское «авось» или попросту скачать файл из интернета нельзя, поскольку цели, субъекты обрабатываемых персональных данных, категории будут сильно разниться с документами сторонней компании даже схожей по специфике и сфере деятельности с Вашей. (Подробнее об отправке уведомления в РКН).
На случай, если проверяющие органы выявили несоответствие сведений в уведомлении с фактической деятельностью организации, уполномоченное лицо займется проверкой документации, свидетельствующей об уведомлении уполномоченного органа об изменении сведений, содержащихся в уведомлении. К счастью, перед проверкой РКН совместно с клиентом мы обнаружили данный недочет и своевременно подали данные в РКН на внесение изменений. Изменения необходимо было отразить постольку незадолго до прохождения проверки клиентом были дополнены цели обработки персональных данных и категории обрабатываемых персональных данных.
Так же у компании целей для обработки персональных данных оказалось гораздо больше, чем просто работа с персональными данными сотрудников компании. Поэтому следующие несколько часов мы совместно с представителями РКН погрузились в плавание: по серверным мощностям, договорам аренды облачных серверов, по проверке наличия форм согласия и политики конфиденциальности на сайте компании и продуктовых страницах.
Проблема № 1. Получение отдельного согласия на каждую цель обработки данных
Работодатели не должны без письменного согласия работника сообщать его персональные данные третьей стороне. Исключения — случаи, когда передача данных нужна в целях предупреждения угрозы жизни и здоровью работника, а также иные случаи, когда такая передача требуется в силу закона (ст. 88 ТК).
Чтобы передать данные ПФР, согласие работника не нужно, а вот для передачи данных другим компаниям группы, контрагентам, провайдерам услуг согласие необходимо. Как правило, такая передача не подпадает под исключения.
Чтобы облегчить себе жизнь, работодатели часто используют в согласиях на обработку данных максимально широкие формулировки. Так компании пытаются покрыть одним согласием сразу все потенциальные случаи обработки данных работника, включая их передачу различным третьим лицам во всех возможных целях обработки. Однако не так давно Роскомнадзор стал признавать такую практику незаконной.
Согласно подходу Роскомнадзора, письменное согласие работника должно покрывать лишь одну цель обработки. Если данные обрабатываются в нескольких целях и передаются нескольким третьим лицам, то на каждую цель и каждое третье лицо должно быть отдельное согласие. Совмещать несколько целей и несколько третьих лиц в одном согласии нельзя.
Позиция ведомства основана на ч. 4 ст. 9, ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ (далее — Закон № 152-ФЗ). Согласно этой норме, в письменном согласии необходимо указывать «цель обработки», а также «наименование лица, осуществляющего обработку по поручению оператора». Поскольку и цель, и лицо указаны в единственном числе, включать несколько целей и лиц в одно согласие нельзя. Позиция Роскомнадзора относится не только к согласиям работников, но и ко всем случаям, когда надо получать именно письменное согласие.
Попытки работодателей оспорить предписания Роскомнадзора об устранении нарушений и необходимости оформить отдельные согласия пока безуспешны — суды поддерживают позицию ведомства.
- Судебная практика
- Работодатель потребовал признать незаконным предписание Роскомнадзора, в котором в том числе было указано, что работодатель передает персональные данные работников третьим лицам на основании письменного согласия, которое не соответствует требованиям ч. 4 ст. 9 Закона № 152-ФЗ.
Суды заняли сторону ведомства. Так, АС г. Москвы указал, что требования п. 4 ч. 4 ст. 9 Закона № 152-ФЗ императивно указывают на наличие только одной цели обработки персональных данных. В рассматриваемом же случае ООО использует форму согласия, где работник соглашается на обработку данных в нескольких целях, при этом в согласии не указаны наименование и адрес лица, которое по поручению оператора обрабатывает данные, что также не соответствует требованиям п. 6 ч. 4 ст. 9 Закона № 152-ФЗ. Вышестоящие суды согласились с такой позицией, добавив, что конкретизирование обстоятельств передачи данных необходимо в целях защиты персональных данных. Работник должен понимать, кому и на что он дает согласие и какие последствия это может повлечь (решение АС г. Москвы от 09.08.2017; постановления 9-го ААС от 10.10.2017, АС Московского округа от 15.01.2018 по делу № А40-81171/17).
Такой подход госорганов привел к тому, что работодатели вынуждены подписывать с каждым работником целую стопку согласий. Часто это большой объем документов.
Совет. Мы согласны с тем, что множество согласий вряд ли способствует защите интересов работника. Чем больше документов, тем выше вероятность, что работник запутается в них или попросту не прочитает. Но так как позиция Роскомнадзора не меняется и суды поддерживают ведомство, мы рекомендуем работодателям обеспечить наличие отдельного согласия на каждую отдельную цель и каждое отдельное третье лицо, которому передаются персональные данные. Кроме того, советуем провести ревизию целей обработки и попробовать объединить некоторые цели в одну — это может позволить уменьшить количество целей и, соответственно, согласий каждого работника.
Несколько практических рекомендаций по подготовке к проверке Роскомнадзора:
- Назначить работника, ответственного за обработку ПД
- Разработать и утвердить локальный нормативный акт о защите ПД
- Ознакомьте всех работников с документами по работе с ПД.
- Ежегодно проверять график проведения плановых проверок на официальном сайте Роскомнадзора
- Привести в порядок все документы, регламентирующие работу с ПД, обращая внимание на условия информации и хранения документов (напр., материально-техническое оснащение помещений: замки на дверях, наличие сейфов для документов и пр.)
- Постоянно отслеживать изменения в законодательстве РФ по ПД
- Регулярно проводить внутренний аудит документов, содержащих ПД
- Установить алгоритм поведения с проверяющими (они должны получать информацию у представителя ЮЛ или ИП)
Предмет проверки Роскомнадзора
Сферы деятельности юридических лиц и ИП, надзор в которых осуществляет Роскомнадзор, перечислены в п. 5 положения, утвержденного постановлением Правительства РФ «О Федеральной…» от 16.03.2009 № 228. В соответствии с ним Роскомнадзор проводит проверки за соблюдением законодательства в различных сферах, в частности, таких как:
- деятельность средств массовой информации, телеканалов, периодических печатных, электронных и других изданий;
- информатизация и защита информации;
- организация и работа радио и телевещания;
- связь и массовые коммуникации;
- организация и деятельность почтовых операторов;
- обработка и защита персональных данных граждан.
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Особенности подготовки к проверке
Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.
Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:
- Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
- Проверка соответствия деятельности информации, прописанной в едином реестре.
- Назначение лица, ответственного за работу с ПД.
- Составление Политики фирмы в отношении обработки ПД.
- Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
- Проверка правильности хранения документов, ограниченности доступа к ним.
- Проверка системы безопасности: наличие замков и сейфов.
Для подготовки бумаг можно использовать специальные онлайн-сервисы.
Кого проверяет Роскомнадзор
В соответствие с Положением о Роскомнадзоре (постановление Правительства №228 от 16.03.2009 года), Служба осуществляет контроль и надзор деятельности операторов персональных данных в части выполнения ними требований действующего законодательства.
Оператор персональных данных (ОПД) – любая организация, ИП, физлицо, федеральных или муниципальный орган власти, который каким-либо образом взаимодействует с личной (персональной) информацией третьих лиц.
В состав персональной информации включаются:
- паспортные данные;
- ИНН;
- место проживания;
- информация о составе семьи;
- данные о фактическом местонахождении;
- банковские реквизиты;
- личная информация из автобиографии.
Таким образом, Роскомнадзор вправе проверить:
- любого работодателя, который консолидирует личную информацию о сотрудниках;
- компанию сферы ИТ, которая занимается обработкой персональных данных пользователя;
- фирму, которая собирает заявки от клиентов путем анкетирования (в том числе через интернет-сайт или электронную почту).
Порядком предусмотрено проведение Роскомнадзором как плановых, так и внеплановых проверок. Плановые проверки осуществляются согласно утвержденному графику. Внеплановые проверки могут проводится на основании жалоб, поступивших в Роскомнадзор в части нарушения ОПД требований действующего законодательства.
Как проводят выездную проверку
Выездную проверку проводят по месту работы или регистрации бизнеса. Если оператор персональных данных — физлицо без регистрации ИП, выездной проверки у него быть не может.
Когда начинается выездная проверка, представитель Роскомнадзора показывает удостоверение и приказ с информацией о сроках, основаниях и целях проверки. Еще до того как начнут проверять, оператору вручат запрос о представлении документов. Раньше такого не было. На подготовку документов дадут минимум два дня.
Во время проверки нужно предоставить проверяющим доступ в помещения и к компьютерам. Если мешать проверке, составят акт и пригласят полицию.
Если проверка придет и никого не застанет по указанному адресу, сроки приостановят. Если и потом никто не объявится, с внеплановой проверкой смогут прийти в любое другое время вообще без предупреждения.
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.