Проверка роскомнадзора на 2020 год

Как подготовиться к проверке?

Следует учитывать, что Роскомнадзор в первую очередь обращает внимание на следующие моменты:

  • было ли подано в Роскомнадзор уведомление об обработке персональных данных, которое требуется для включения в реестр операторов (ст. 22 Закона о персональных данных). Необходимо представить сведения о его направлении или сослаться на одно из оснований, позволяющих обрабатывать данные без уведомления Роскомнадзора. Перечень таких оснований предусмотрен ч. 2 ст. 22 Закона о персональных данных;

  • если уведомление было подано – соответствует ли реальное положение дел данным, указанным в нем;

  • соблюдены ли требования к неавтоматизированной обработке персональных данных: кто из сотрудников работает с ними, как хранятся документы;

  • соблюдены ли требования к автоматизированной обработке данных (за исключением требований, связанных с безопасностью);

  • утверждена ли политика обработки персональных данных. Если данные собираются через сайт компании – размещены ли сведения об этой политике на сайте;

  • данные каких субъектов обрабатываются и на каком основании. Допустимые основания перечислены в ч. 1 ст. 6 Закона о персональных данных;

  • если обработка осуществляется на основании согласия субъекта персональных данных – соблюдены ли требования закона к такому согласию (ст. 9 Закона о персональных данных);

  • передаются ли персональные данные третьим лицам. Если да, соблюдаются ли требования закона, касающиеся передачи: наличие согласия субъекта; соответствующие условия в договоре с третьими лицами; требования, касающиеся трансграничной передачи данных;

  • обрабатываются ли специальные категории персональных данных и биометрические данные. Соблюдены ли условия для такой обработки;

  • соблюдаются ли требования о локализации персональных данных (ч. 5 ст. 18 Закона о персональных данных).

Если осуществляется внеплановая проверка в связи с поступлением в Роскомнадзор сведений о нарушениях прав субъектов персональных данных или если ведомство выявило такие нарушения в ходе проведения дистанционного контроля – рекомендуется заранее предоставить пояснения по выявленным нарушениям.

Что такое контроль без взаимодействия с оператором

Чтобы находить нарушения, Роскомнадзор проводит специальные мероприятия, в которых сами операторы никак не задействованы и о которых они вообще не знают. Это наблюдение двух видов:

  1. Как соблюдаются требования при размещении информации в СМИ и интернете.
  2. Какие данные и документы оператор представляет в Роскомнадзор.

Это не проверка, а просто наблюдение, о котором вы даже не подозреваете. Но его результаты могут стать основанием для внеплановой проверки.

Для наблюдения должно быть задание. А для задания нужны причины:

  1. поручение президента, правительства или руководителя Роскомнадзора;
  2. обращения госорганов, компаний, предпринимателей, обычных людей;
  3. публикации в СМИ и интернете о нарушении прав при обработке персданных.

Если по итогам наблюдения найдутся нарушения или покажется, что они есть, проверяющий пишет докладную записку. Ее рассмотрит руководитель отделения Роскомнадзора и может назначить проверку. А может без проверки попросить устранить нарушения, заблокировать или уничтожить данные. Если не выполнить это требование, составят протокол и оштрафуют: фирму — на сумму до 45 тысяч рублей, ИП — на сумму до 20 тысяч.

Проверка гарантии вручную * Обязательные поля

Заполнив и отправив эту форму, вы предоставляете свое согласие на использование ваших данных в соответствии с заявлением о конфиденциальности HP. Подробнее о политике конфиденциальности HP

Как убрать сведения о компании?

Существуют ситуации, когда возникает необходимость удаления сведений об организации из реестра Роскомнадзора. Это:

  • реорганизация компании, а в следствии и прекращение деятельности Оператора;
  • полная ликвидация Оператора;
  • анулирование лицензии;
  • вступившее в силу решение суда о запрете и наступлении срока или условия о прекращении деятельности, согласно указанным данным в уведомлении, которое подавалось в Роскомнадзор.

В этом случае оператор самостоятельно направляет заявление в уполномоченный территориальный орган, приложив документы, подтверждающие исключение. Срок рассмотрения заявления исчисляется с момента регистрации в Роскомнадзоре. По истечении 30 дней данные об организации удаляются из реестра.

Отдельно мы рассматривали темы о персональных данных работников и о согласии на обработку ПД несовершеннолетних.

Как проверить, есть ли на портале сведения об организации?

Для того чтобы проверить, есть ли запись в реестре операторов, осуществляющих обработку ПДн персональных данных, необходимо выполнить следующие действия:

  1. Зайти на портал персональных данных уполномоченного органа по защите прав субъектов персональных данных.
  2. Заполнить поисковую форму и указать ИНН организации.
  3. Если не знаете ИНН – произвести поиск по названию, при этом достаточно указать только оригинальную часть наименования, без спецсимволов и сокращений.
  4. Подождать результат поиска.

Для быстрого поиска лучше избегать часто встречающихся слов в названиях, таких как: «Федеральный», «Общество», «Российский» и т.п.

Кто должен быть внесен в реестр?

Если компания или физическое лицо, а также государственный или муниципальный орган, проводят сбор, хранение или обработку личной информации, и являются оператором персональных данных, то наличие регистрации в реестре Роскомнадзора является обязательным условием для их деятельности.

Важно. В настоящее время позиция Роскомнадзора такова, что уведомление о регистрации нужно подавать практически всем юридическим лицам, так как во многих организациях ведётся кадровый учёт со сбором личных данных сотрудников, а зачастую и их близких родственников.. Физические лица и ИП также должны быть внесены в реестр

Оказывая услуги или занимаясь продажей, многие предприниматели, как правило, предлагают заполнить анкеты с личными данными для получения бонусных карт или акционных рассылок. Интернет-порталы не являются исключением, если на них существует форма подписки или обратной связи, где нужно оставить свою персональную информацию. О защите персональных данных в интернете мы рассказывали тут

Физические лица и ИП также должны быть внесены в реестр. Оказывая услуги или занимаясь продажей, многие предприниматели, как правило, предлагают заполнить анкеты с личными данными для получения бонусных карт или акционных рассылок. Интернет-порталы не являются исключением, если на них существует форма подписки или обратной связи, где нужно оставить свою персональную информацию. О защите персональных данных в интернете мы рассказывали тут.

Кому можно не регистрироваться?

Согласно п. 2 ст. 22 № 152-ФЗ, существует ряд условий, при котором оператор вправе осуществлять обработку без уведомления в Роскомнадзор. Исключением когда нет необходимости о регистрации в реестре является:

  1. Публичность либо общедоступность сведений.
  2. Трудовые отношения, относится только к тем сведениям, которые необходимы при составлении трудового и коллективного договора в рамках трудового законодательства.
  3. Сбор информации, которая содержит в себе только фамилию, имя, отчество.
  4. Получение данных для однократного использования.
  5. Обработка информации только на бумажном носителе, без использования автоматизированных средств (компьютеров).
  6. Оформление организацией потребительского договора, одной из сторон которого является сам субъект ПДн, при условии, что данные будут использоваться только для выполнения условий договора, и не будут распространены широкому кругу.
  7. Приём сведений участников общественных объединений и религиозных общин, если данные не будут обнародованы без согласия в письменном виде лиц, чья информация собиралась.
  8. Получение информации организациями, которые сотрудничают с транспортным комплексом для обеспечения безопасности в транспортной сфере.

Важно. Для уточнения, существует ли необходимость в регистрации, можно обратиться в компетентный территориальный орган за разъяснениями.

Подготовка к проверке

Наталия Годжаева,генеральный директор Superjob.ru: Еще задолго до появления в современном виде закона о персональных данных мы сталкивались с различными кейсами: нам предлагали продавать данные банкам и страховым,нам предлагали участвовать во всевозможных продажах — мы отказывались. Мы добровольно вырабатывали системы выявления и отказа от работы с МЛМ,пирамидами,другими сомнительными бизнесами.

За полгода до проверки мы взвешивали всеза» и «против» варианта пригласить внешнего аудитора для проведения аудита соответствия бизнес-процессов Superjob.ru по работе с персональными данными. Отказались,так как решили,что наша экспертиза сильнее. И в целом оказались правы. По сути,роль аудитора для нас выполнил РКН. Так что в итоге мы получили и аудит,и серьезно прокачали наши компетенции,теперь сами можем консультировать.

Как часто будут осуществляться проверки?

Пунктом 33 Регламента установлено, что плановые проверки проводятся один раз в три года. Данный срок указан и в п. 6 Правил.

Кроме того, определено специальное правило в отношении операторов:

  • обрабатывающих персональные данные в государственных информационных системах;

  • осуществляющих сбор биометрических или специальных категорий персональных данных;

  • осуществляющих трансграничную передачу персональных данных на территорию, на которой не обеспечивается адекватная защита прав субъектов;

  • осуществляющих обработку персональных данных по поручению иностранного лица или органа власти, которые не зарегистрированы в России.

Как оформляют результаты проверки

Когда проверка закончится, составят акт в двух экземплярах. В нем напишут, что нарушений нет или что их нашли. Представитель оператора должен подписать акт. Если отказаться, от штрафов это не спасет: в акте сделают пометку об отказе и пришлют его по почте.

Если не согласны с актом, пишите возражения и обжалуйте результаты проверки.

Что проверяет Роскомнадзор

Далеко не все знают, за какую область отвечает Роскомнадзор, или иначе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Подконтрольными Роскомнадзору субъектами выступают все предприятия, большинство ИП и даже некоторые граждане, которые вне зависимости от объема, обрабатывают и собирают информацию о клиентах, сотрудниках и других гражданах.

У вас есть наемные работники? Если ответ положительный, то будьте уверены, вы уже точно попадаете под проверки Роскомнадзора по персональным данным.

Роскомнадзор проверяет:

  1. Документы, включающие в себя персональные данные. Если проверка выездная – еще и условия их хранения, организацию места хранения. Собственно хранение данных на предприятии может быть физическим или электронным, Роскомнадзор проверяет оба метода;
  2. Обрабатывающие их системы (компьютеры и программы);
  3. Внутренние нормативные акты, касающиеся обработки и хранения персональных данных, и их практическое соблюдение;
  4. Сайт компании в интернете. Например, предприятие могут оштрафовать, если на его сайте производится сбор персональных данных (для регистрации нужно вводить свое имя, номер телефона), но не размещены подробности дальнейшей работы компании с персональными данными.

Единого перечня документов, которые подвергаются проверке, не существует, но приблизительный список такой:

  • Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав общества и прочие);
  • Копия уведомления о намерении осуществлять работу с персональными данными (можно заменить выпиской из реестра операторов);
  • Список персональных данных, собираемых и охраняемых вашей компанией;
  • Список сотрудников, имеющих доступ к персональным данным, вместе с приказом об их допуске;
  • Инструкции сотрудников, которые в ходе своей трудовой деятельности обрабатывают персональные данные и обеспечивают информационную защиту;
  • Положение об ответственности работников за разглашение персональных данных и нарушение запрета доступа к ним;
  • Положения о коммерческой тайне, о защите персональных данных, хранящихся на предприятии;
  • Положения об особенностях обработки персональных данных, в том числе их обезличивания;
  • Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности);
  • Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи сотрудников по требованиям информационной безопасности);
  • Соглашения о неразглашении персональных данных, подписанные всеми сотрудниками;
  • Бланки согласия граждан на обработку их персональных данных;
  • Журналы инструктажей сотрудников по вопросам информационной безопасности и прочих внутренних контрольных мероприятий режима защиты;
  • Журналы учета всех носителей информации, а также средств защиты информационных систем.

Как долго проверка будет длиться?

Пунктом 20 Регламента было установлено, что срок проведения плановых и внеплановых проверок не может превышать 20 рабочих дней и может быть продлен не более чем на 20 рабочих дней. Для субъектов малого предпринимательства были определены иные сроки проведения проверок: не более 50 часов для малого предприятия и не более 15 часов для микропредприятия.

В новых Правилах сократили срок проведения внеплановых проверок. Теперь он составляет не более 10 рабочих дней и может быть продлен в исключительных случаях не более чем на 10 рабочих дней (п. 17 Правил). При этом в Правилах отсутствует указание на другие сроки проведения проверок для субъектов малого предпринимательства.

Что проверяет Роскомнадзор при плановой проверке

Перечень мероприятий, проводимых инспектором Роскомнадзора в ходе проверки, устанавливается индивидуально к каждому предприятию (ИП) и отражается в распоряжении, которое направляется в адрес ОПД перед визитом представителей Службы.

В общем порядке проверке подлежат:

  • документы, в которых содержатся персональные данные сотрудников, клиентов, третьих лиц;
  • электронные носители (программы ПК, базы данных), на которых хранятся индивидуальные сведения о сотрудниках;
  • интернет-сайт, портал, через который осуществляется сбор персональной информации (например, анкетирование, прием заявок).

Согласно Порядку проведения проверок, в ходе контрольных мероприятий Роскомнадзор проверяет ОПД в части выполнения ним законодательства по защите персональных данных. Что конкретно может заинтересовать инспекторов при плановой проверке – в таблице ниже:

№ п/п Объект плановой проверки Роскомнадзора Описание
1 Наличие уведомления об обработке персональных данных При постановке на учет предприятие обязано уведомить Роскомнадзор о согласии на обработку персональных данных. Уведомление оформляется на бумажном носителе. В ходе проверки Роскомнадзор проверяет наличие документа с соответствующей отметкой Службы.
2 Условия хранения документов на бумажном носителе Документы, содержащие персональные данные, должны храниться в индивидуальных сейфах. Доступ в помещение должен быть ограничен от посторонних лиц. При проведении плановой проверки Роскомнадзор контролирует выполнение данных требований.
3 Безопасность электронных баз данных Если предприятие хранит (обрабатывает) персональные данные на электронных носителях, то в ходе проверки инспекторы Роскомнадзора контролируют безопасность и конфиденциальность электронных сведений.
4 Согласие сотрудников (клиентов, третьих лиц) на передачу личной информации Сбор, хранение, обработка персональных данных возможна исключительно при наличии согласия собственника таких данных. В ходе инспекции Роскомнадзор проверяет наличие письменных (электронных) подтверждений выполнения данного требования.

Как избежать штрафов и подготовиться?

Как подготовиться к проверке:

  1. В первую очередь нужно следить за бумагами, особенно копиями паспортов. Хранение такой информации в доступном месте может породить у инспектора много вопросов.
  2. Убедиться, что на предприятии есть заполненные бланки «согласия сотрудников на обработку их личной информации».
  3. Провести инструктаж с работниками по охране личных сведений.
  4. В кабинетах, в которых обрабатывается личная информация в бумажном, виде должны находиться сейфы, закрытые шкафы, бухгалтерские стеллажи, в которых они будут храниться.

Как действовать во время инспекции:

  1. тщательно ознакомиться со всеми документами, которые относятся к проверке;
  2. помощь профессионалов, например, юристов, которые имеют право присутствовать во время проведения мероприятия;
  3. прежде чем передать документы инспектору следует лично ознакомиться с их содержанием;
  4. не обязательно представлять требуемые документы незамедлительно, всегда есть время на обработку запроса.

Важно помнить, что за несоблюдение законодательства в области защиты персональной информации руководители организаций несут ответственность, согласно ФЗ №152 «О персональных данных»

Перечень информации, предоставляемой из Единого реестра

Стадия В случае принятия Уполномоченным органом решения о внесении в Реестр указателя страницы сайта В случае принятия Уполномоченным органом решения о внесении в Реестр доменного имени
Включение в реестр В реестр включается только конкретная страница сайта, без внесения доменного имени. В реестр включается только доменное имя, без внесения конкретных страниц сайта.
Уведомление провайдеру хостинга В уведомлении провайдеру хостинга указывается только конкретная страница сайта, доменное имя не указывается. В уведомлении провайдеру хостинга указывается только доменное имя, конкретные страницы сайта не указываются.
Запрос информации через систему поиска на сайте (до включения в Реестр сетевого адреса) При поиске по конкретной странице сайта предоставляется информация о решении, которым данная конкретная страница включена в Реестр. При поиске по конкретной странице сайта, доменное имя которого включено в Реестр именно как доменное имя (пусть даже ни одна из конкретных страниц не включена в Реестр отдельно) – предоставляется информация о решении, которым в реестр включено доменное имя. При этом указывается, что решение принято в отношении именно доменного имени.
При запросе по доменному имени информация не предоставляется. При поиске по доменному имени предоставляется информация о решении. При этом указывается, что решение принято в отношении именно доменного имени.
Запрос информации через систему поиска на сайте (после включения в Реестр сетевого адреса) При поиске по конкретной странице сайта предоставляется информация о решении, которым данная конкретная страница включена в Реестр. При поиске по конкретной странице сайта, доменное имя которого включено в Реестр именно как доменное имя (пусть даже ни одна из конкретных страниц не включена в Реестр отдельно) – предоставляется информация о решении, которым в реестр включено доменное имя. При этом указывается, что решение принято в отношении именно доменного имени.
При поиске по доменному имени или сетевому адресу запрос выполняется, при этом отображается столько строк с информацией о решениях уполномоченных органов, сколько страниц сайта (в данном домене) или с данным сетевым адресом включено в Реестр. При этом адреса конкретных страниц не отображаются. Для решений указывается, что они приняты в отношении конкретных страниц сайта. При поиске по доменному имени или сетевому адресу запрос выполняется, при этом отображается столько строк с информацией о решениях уполномоченных органов, сколькими в Реестр были внесены конкретные страницы сайта (в данном домене), конкретное доменное имя или сетевой адрес, позволяющий идентифицировать сайт. При этом адреса конкретных страниц не предоставляются.

Что такое персональные данные

Для точного определения того, что представляют собой персональные данные, стоит обратиться к ТК РФ. Трудовой кодекс определяет персональные данные, как сведения, необходимые к передаче работодателю для выполнения рабочих обязанностей.

Большинство данных, предоставляемых нанимателю, являются персональными – это и паспортные данные (этот вид сведений должен находиться под особой защитой организации, так как паспорт является идентификатором личности гражданина), автобиографические сведения (к которым может относиться, например, уровень образования, квалификация).

Для выполнения некоторых видов работ нанимателю требуются более личные сведения о кандидате на должность, например, информация о перенесенных заболеваниях.

Распространение подобной информации (или неспособность защитить ее конфиденциальность организацией – оператором) и является наиболее частой причиной обращения сотрудника в суд.

Если человек, скажем, перенес тяжелое заболевание, этот биографический факт может принести ему множество проблем при устройстве на работу – естественно, в такой ситуации ему ничего не остается, кроме как защищать собственные интересы в суде.

Суд принимает сторону истца в таких делах в 99% случаев.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий