Проверка Роскомнадзора: как к ней подготовиться, чтобы избежать штрафов

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Проверка Роскомнадзора: как к ней подготовиться, чтобы избежать штрафов». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.

Давайте подытожим, что нам нужно сделать, чтобы подготовиться к проверке РКН по вопросам выполнения законодательства в сфере защиты персональных данных и успешно ее пройти.

1. Проанализировать необходимость подачи уведомления оператора ПДн. Проверить наличие уведомления, проверить корректность информации в уведомлении. Внести изменение в уведомление, при необходимости.
2. Провести подробную инвентаризацию обрабатываемых персональных данных, информационных систем персональных данных, законность обработки различных персональных данных, технологические процессы обработки персональных данных и т. д. Эта информация нам понадобится при разработке документов.
3. Назначить ответственных.
4. Разработать комплект документации по защите персональных данных. Документация должна быть конкретизированной в отношении определенной организации и/или определенной ИСПДн. Уделяя время разработке документации по защите и обработке ПДн в информационных системах, не забыть о регламентировании неавтоматизированной обработки ПДн.
5. Опубликовать политику в отношении обработки персональных данных на сайте (хотя допускается и другой вид организации беспрепятственного доступа к документу, если вы не гос- или муниципальный орган).
6. Ознакомить всех причастных сотрудников с разработанной документацией.
7. Заполнить журналы.
8. Проинструктировать своих сотрудников о том, что проверяющим не нужно говорить лишнего и о том, что не нужно разбрасывать документы с ПДн по всему офису.
9. Вести себя корректно с проверяющими. Выразить свою готовность исправлять мелкие недочеты в процессе проверки.

Как проверяет Роскомнадзор?

Существуют плановые и внеплановые проверки, которые проводятся как в отношении тех организаций, которые включены в реестр Роскомнадзора, так и тех, что не включены. Плановые проверки более безобидные, так как о том, что вас проверят, оповестят заранее (не позднее чем за три дня), а по внеплановым проверкам — всего за 24 часа. Роскомнадзор в конце каждого года публикует на своем сайте план проверок на следующий календарный год и проверяет в соответствии с ним.

Для организации все начинается с уведомления, которое приходит по почте России. В нем Роскомнадзор уведомляет о намерении проверить и кратко сообщает, что именно будет проверять. Также в уведомлении сообщается состав проверочной комиссии, дата и срок выездной проверки. Срок проверки обычно составляет 20 рабочих дней, но это не значит, что все 20 дней у вас будет сидеть комиссия, а говорит лишь о дедлайне проверки. Комиссия, как правило, приезжает всего 2-3 раза: первый раз — запросить документы, второй раз — забрать документы и третий раз — выдать акт о проверке с замечаниями и предписанием на устранение нарушений. Нередко сразу выписываются протоколы об административных правонарушениях.

По факту объем запрашиваемых документов и методика самой проверки сильно варьируются в зависимости от того или иного территориального управления Роскомнадзора.

Кратко порядок проверки выглядит так:

1. Уведомление оператора о проведении плановой проверки путем направления копии приказа руководителя Роскомнадзора о проверке почтой России. Уведомление должно поступить оператору не позднее трех рабочих дней до начала ее проверки (при плановой проверке), что очень мало, чтобы успеть к ней подготовиться.
2. Далее в указанный в уведомлении день проверки приезжает комиссия, как правило, в составе 2-3 человек для осуществления государственного контроля.
3. На месте проверки комиссия запрашивает и рассматривает документы, имеющиеся у оператора «под рукой», и выдает список документов для предоставления оператором до окончания срока проверки. Непредоставление оператором запрошенных документов расценивается как несоответствие требованию закона, и выписывается штраф, а также предписание на устранение нарушений.
4. По результатам рассмотрения представленных оператором к проверке документов Роскомнадзор составляет акт проверки, предписание об устранении выявленных нарушений, а также протоколы об административных нарушениях в отношении оператора.
5. По окончании срока предписания об устранении выявленных нарушений назначается повторная внеплановая проверка. В случае неустранения нарушений деятельность организации приостанавливается.

Организация и проведение проверок

Проверки как форма контроля за соответствием работы с персональными данными требованиям закона проводятся государственными ведомствами – Роскомнадзором и ФСТЭК РФ. А в случаях, связанных с использованием средств криптографической защиты, – ФСБ РФ.

В обязанности Роскомнадзора входит проверка общих требований законодательства по защите персональных данных:

• соответствие целей работы с ПД заявленным при подаче уведомления о начале занятия деятельностью, связанной с использованием персональных данных;
• наличие политики по использованию ПД в общем доступе на сайте организации;
• сбор согласий на обработку данных;
• наличие приказов о назначении лиц, ответственных за работу с ПД;
• наличие иной организационно-распорядительной документации.

ФСТЭК проверяет наличие средств технической защиты информации, важно, чтобы это были рекомендованные и сертифицированные ведомством программные средства. Проверки могут быть плановыми и внеплановыми. Плановые проводятся не чаще чем раза в три года, и первая организовывается не ранее чем через три года после того, как организация направила в Роскомнадзор уведомление о начале деятельности, связанной с ПД. Внеплановая проверка проводится в любое время, в ситуации, не терпящей отлагательств, например, когда намеренное разглашение персональных данных привело к существенному ущербу для граждан.

Для проведения внеплановой проверки необходимо соблюдение двух условий:

• наличие сигнала о существенном нарушении закона, заявление или истечение срока действия предписания об устранении ранее допущенных нарушений законодательства;
• согласие региональной прокуратуры на назначение контрольного мероприятия.

Внеплановая проверка может проводиться только в серьезных ситуациях:

• компания не выполнила предписание, выданное по результатам плановой проверки, его или не отчиталась о результатах его выполнения;
• поступил сигнал от гражданина, компании, правоохранительного органа, СМИ, муниципальных властей о критической ситуации, связанной с тем, что причинен ущерб жизни или здоровью граждан, или существует риск такого ущерба, нарушены иные права граждан, деятельность организации не соответствует тем позициям, которые были заявлены в уведомлении.

Заявление, на основании которого проводится внеплановая проверка, обязательно должно позволять идентифицировать личность заявителя.

Если о плановой проверке компания узнает за год, из графика, размещенного на сайтах Генпрокуратуры и Роскомнадзора, то о внеплановой ее предупреждают за сутки по каналам связи, указанным в уведомлении о начале деятельности, связанной с использованием персональных данных.

Порядок проведения проверок Роскомнадзором утвержден в виде регламента, доступного на сайте ведомства. Он описывает два типа проверок:

• документарная. Она проводится в виде истребования интересующих ведомство документов, их изучение происходит в территориальном офисе ведомства;
• выездная. При проведении выездной проверки сотрудники Роскомнадзора выезжают в офис организации и изучают документы и порядок работы с персональными данными на месте.

Состав группы проверяющих всегда не менее двух сотрудников территориального органа, при необходимости они вправе пригласить эксперта или иного уполномоченного представителя. Срок каждого типа проверок ограничен 20 днями, на основании мотивированного постановления территориального подразделения ведомства он может быть продлен еще на 20 дней. Это усиление мер контроля за соответствием обработки персональных данных требованиям законодательства обычно обусловлено непредоставлением документов проверяемыми организациями или неясностями в документах.

Результатами проверки становятся:

• составление акта проверки и направление его в адрес организации;
• выдача предписания об устранении нарушений закона;
• привлечение оператора к административной ответственности;
• выдача предписания о приостановлении деятельности;
• направление мотивированного заключения в правоохранительные органы с просьбой о привлечении сотрудников оператора к уголовной ответственности.

Другие меры реагирования

Роскомнадзор выступает гарантом соблюдения оператором требований законодательства об обработке персональных данных. Если гражданин узнал о нарушении своих прав, он может обратиться в ведомство.

Оно обязано своевременно отреагировать на следующие обращения:

• обработка персональных данных без согласия;
• незаконный запрос сведений о судимости, что разрешено только государственным и муниципальным органам;
• несоответствие целей использования ПД ранее заявленным;
• передача данных третьим лицам для обработки или в других целях без получения согласия гражданина;
• разглашение данных, например, в СМИ;
• неуничтожение персональных данных в случаях, предусмотренных законом. Так, банк обязан уничтожить все сведения о лицах, которым было отказано в кредите, в течение трех дней после отказа;
• отказ блокировать, уточнить или уничтожить ПД;
• отказ оператора ПД сообщить, какие документы и сведения о гражданине находятся в его распоряжении.

О федеральном государственном контроле (надзоре) за обработкой персональных данных

Правительство Российской Федерации постановляет:

1. Утвердить прилагаемое Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных.

2. Установить, что реализация полномочий, предусмотренных настоящим постановлением, осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в пределах установленной Правительством Российской Федерации предельной численности работников центрального аппарата и территориальных органов Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, а также бюджетных ассигнований, предусмотренных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций на руководство и управление в сфере установленных функций.

3. Признать утратившим силу постановление Правительства Российской Федерации от 13 февраля 2019 г. N 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» (Собрание законодательства Российской Федерации, 2019, N 7, ст. 673).

4. Настоящее постановление вступает в силу с 1 июля 2021 г.

Штрафы за неуведомление Роскомнадзора

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

Виды проверок соблюдения законодательства о персональных данных

Ключевые моменты в положении о проверках, которые нужно учитывать предприятиям:

1. Роскомнадзор проверяет две ключевые составляющие деятельности операторов ПД (п. 7 Положения по постановлению № 1046):

• деятельность по обработке персональных данных самого оператора и третьих лиц, которые выполняют его поручения;
• результаты деятельности оператора по разработке документов и локальных нормативов, направленных на обеспечение требований по ч. 1 ст. 18.1 Закона № 152-ФЗ.

1. Предусмотрены профилактические мероприятия (п. 13 Положения), контрольно-надзорные мероприятия (п. 42 Положения).

Указанная классификация основана на перечнях профилактических и контрольно-надзорных мероприятий, приведенных, соответственно, в ст. 45 и 56 Закона № 248-ФЗ. Профилактические мероприятия — это «мягкие» варианты взаимодействия регулятора и контролируемого лица, контрольно-надзорные — более «строгие». Возможно, что по итогам профилактического мероприятия будет начато контрольно-надзорное (ч. 4 ст. 45 Закона № 248-ФЗ).

1. Частота и типы профилактических и контрольно-надзорных мероприятий привязаны к категории риска, присвоенной хозяйствующему субъекту (п. 10 Положения).

Процедура инспекции зависит от ее типа, основными являются следующие:

• Плановые. В конце года составляется график проведения инспекций на следующий период, и эта информация публикуется на официальном сайте уполномоченного органа. За три дня до начала инспекции проверяемая организация предупреждается лично или письмом.
• Внеплановые. Такие мероприятия осуществляются после поступивших жалоб. В зависимости от степени серьезности нарушения о визите инспекторов могут сообщить за сутки или вовсе не предупредить.
• Документарные. Контролирующий орган запрашивает необходимые документы, которые руководитель предприятия обязан предоставить в определенные сроки.
• Выездные. Территория организации осматривается сотрудниками уполномоченного органа.

Такие инспекции могут проводиться как Роскомнадзором, так и ФСБ.

Регламент проведения проверок обращения с персданными

Правительство РФ утвердило правила проверок организаций на предмет того, не нарушают ли они закон при обработке персональных данных своих сотрудников и клиентов-физлиц.

Объект проверки

Проверять будут юрлиц и ИП, являющихся операторами персданных.

Таким образом, контролю подвергнут работодателей, поскольку они являются операторами персданных.

Виды проверок

Ревизии могут проходить в виде:

1. плановых проверок – выездных и документарных;
2. внеплановых проверок – выездных;
3. мероприятий без взаимодействия инспекторов с операторами.

Плановые проверки

Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.

Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.

В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.

Внеплановые проверки

Проводятся на основании:

• обращений граждан;
• по требованию прокурора;
• в случае неисполнения оператором предписания.

Уведомление компании

Роскомнадзор должен уведомить фирму:

• о проведении плановой проверки – не позднее чем за 3 рабочих дня:
• о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.

Способ уведомления – направление копии приказа о проведении проверки (либо-либо):

• заказным письмом с уведомлением о вручении;
• электронным документом с усиленной квалифицированной электронной подписью на электронную почту.

Что будут проверять

Инспекторы проверят:

• документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 закона о персданных;
• обработку персданных на предмет ее соответствия установленным требованиям;
• информационные системы персданных.

Данные клиентов из Интернета можно использовать без уведомления Роскомнадзора

Роскомнадзор провел проверку в компании, выявил несколько нарушений при работе с персданными и выдал предписание об устранении нарушений.
Компания оспорила это предписание и выиграла суд по всем пунктам.
Почему – читайте в таблице.

ТАБЛИЦА: «Пять законных способов работы с персданными»

Действия компании по работе с персональными данными	Позиция Роскомнадзора	Позиция компании и судов
При оформлении заказа на сайте интернет-магазина клиенты указывают свои персданные, необходимые для доставки заказа. Данные сведения компания обрабатывает в информационной системе «1С:Предприятия (Магазины)»	Компания обязана уведомлять Роскомнадзор об обработке персональных данных такими способами, поскольку она проводится с использованием информационных систем. Поэтому не подпадает под исключения, предусмотренные ч. 2 ст. 22 закона о персональных данных	Частью 2 ст. 22 закона о персданных № 152-ФЗ прямо предусмотрен перечень из 9 случаев, когда фирма освобождается от обязанности представлять в Роскомнадзор уведомление об обработке персданных. Одним из таких случаев (п. 2) является обработка личных данных, полученных оператором в связи с заключением договора, стороной которого является субъект этих данных, если они не распространяются и не предоставляются третьим лицам без согласия субъекта и используются только оператором. Способ, которым обрабатываются персданные, – без использования средств автоматизации или с использованием информационных систем – не имеет правового значения. Поэтому в силу п. 1 ч. 2 ст. 22 закона № 152-ФЗ о персданных уведомлять Роскомнадзор в данном случае не требуется
Используется система «1С:Зарплата и управление персоналом 8»	Указанные системы используются компанией в рамках трудовых договоров, заключенных с работниками. При этом абз. 17 ст. 22 ТК РФ закреплена обязанность работодателя выплачивать работникам зарплату в полном размере и в установленные сроки. Статья 91 ТК РФ обязывает работодателя вести учет времени, отработанного каждым сотрудником. Таким образом, использование указанных систем подпадает под исключение, предусмотренное п. 1 ч. 2 ст. 22 закона о персональных данных, то есть обработка таких данных осуществляется в соответствии с трудовым законодательством
Используется система БСУВ «Биометрическая система учета времени»
В ходе подбора персонала компания размещает вакансии на сайтах в сети Интернет, а полученные резюме в электронном виде хранит на рабочих компьютерах в отделе подбора персонала	Компания обязана уведомлять Роскомнадзор об обработке персданных таким способом, так как работа по подбору персонала не регулируется трудовым законодательством. В связи с этим обработка личных данных не подпадает под исключения ч. 2 ст. 22 закона о персданных	Трудовые и иные непосредственно связанные с ними отношения регулируются не только кодексом, но и другими нормативными актами (ст. 5 ТК РФ). Правоотношения между кандидатом и будущим работником регулируются законом о занятости населения. Из него следует, что работодатели должны содействовать проведению госполитики занятости населения, оказывая помощь в трудоустройстве. При этом они вправе принимать на работу граждан, непосредственно обратившихся к ним, на равных основаниях с теми, кто имеет направление органов службы занятости (ч. 1, ч. 3.1 ст. 25, ч. 1 ст. 26). Таким образом, работодатель вправе обрабатывать персданные кандидатов на вакансии и сохранять их резюме, как в бумажном, так и в электронном виде, формируя базу соискателей при наличии письменного согласия кандидатов

Роскомнадзор: что проверяет и на что обращает внимание

Мероприятия по охране труда: план на предприятии

В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.

При плановой ревизии важно:

• какие именно данные обрабатывает компания;
• кто отвечает за обработку;
• где можно ознакомиться с политикой компании (в том числе на сайте);
• кому передаются данные;
• как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
• как хранятся документы, и как контролируется доступ в этих помещениях;
• насколько всё перечисленное соответствует заявленному в документах.

Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.

Лайфхак по успешному прохождению проверки Роскомнадзора

Для успешного прохождения проверки Роскомнадзора необходимо учесть следующие основные моменты:

1. Роскомнадзор проверят отдельно автоматизированную (в компьютерных системах) и не автоматизированную (бумажную) обработку персональных данных. Внутренние ОРД должны быть разработаны по обоим направлениям отдельно.
2. Роскомнадзор на проверке запрашивает не все абсолютно договоры с контрагентами, а по определенным категориям (см. выше «Что проверяет Роскомнадзор?»). Поэтому стоит позаботиться о том, чтобы как минимум по 1-2 договору по каждому направлению у вас были идеальными (соответствовали требованию закона в части передачи права обработки и возложения обязанности по защите персональных данных) или имелись соответствующие дополнительные соглашения к данным договорам.
3. Роскомнадзор при проведении проверки руководствуется административным регламентом по данной процедуре проверки, который размещен на официальном сайте Роскомнадзора. Рекомендуется с ним как следует ознакомиться перед прохождением проверки.
4. Обязательно необходимо перед проверкой сделать самооценку по статьям 18.1 и 19 закона и оперативно разработать необходимые документы (см ниже «Какие документы запрашивает Роскомнадзор на проверке»).
5. Роскомнадзор проверяет не только обработку персональных данных оператором, но и обработку персональных данных при организации пропускного режима и охраны территории оператора, даже если эту функцию выполняет внешняя организация.

Особенности подготовки к проверке

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
2. Проверка соответствия деятельности информации, прописанной в едином реестре.
3. Назначение лица, ответственного за работу с ПД.
4. Составление Политики фирмы в отношении обработки ПД.
5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
6. Проверка правильности хранения документов, ограниченности доступа к ним.
7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Наблюдение за оператором

Проводится тайно. Не предупреждая оператора, инспекторы смотрят, какую информацию компания/человек публикует в интернете и СМИ, какие документы предоставляет в Роскомнадзор. Например, сотрудники ведомства могут изучить пользовательское соглашение или форму подписки на вашем сайте.

Работники ведомства имеют право проводить наблюдение только по заданию.

Основанием могут стать следующие события:

• Президент, правительство или руководитель федерального РКН поручили наблюдать за оператором.
• Граждане (пользователи, сотрудники) обратились с жалобой в РКН.
• В СМИ появилась информация, что оператор нарушает закон о защите персональных данных.

Если при наблюдении проверяющий выявил нарушения, то докладывает о них руководству отделения Роскомнадзора. После этого могут назначить проверку вне графика или просто сразу попросить устранить нарушения, уточнить, заблокировать или удалить недостоверные или неправомерно полученные данные. Как правило, на это дается 10 дней. Если оператор не выполнит требования, его оштрафуют.

Предмет проверки Роскомнадзора

Сферы деятельности юридических лиц и ИП, надзор в которых осуществляет Роскомнадзор, перечислены в п. 5 положения, утвержденного постановлением Правительства РФ «О Федеральной…» от 16.03.2009 № 228. В соответствии с ним Роскомнадзор проводит проверки за соблюдением законодательства в различных сферах, в частности, таких как:

• деятельность средств массовой информации, телеканалов, периодических печатных, электронных и других изданий;
• информатизация и защита информации;
• организация и работа радио и телевещания;
• связь и массовые коммуникации;
• организация и деятельность почтовых операторов;
• обработка и защита персональных данных граждан.

Похожие записи:

• Можно ли взыскать алименты за прошлые годы: за какой срок и как это делается
• Как бороться с незаконными действиями налоговых органов.
• Нюансы и порядок увольнения после декрета. Образец заявления