Что проверяет Роскомнадзор: порядок проведения проверки, документы
Управляющие организации, ТСЖ и кооперативы по роду своей деятельности являются операторами персональных данных, поэтому в отношении таких организаций Роскомнадзор имеет право проводить проверки согласно постановлению Правительства РФ от 13.02.2019 № 146. Рассказываем об этом подробнее.
Уо и тсж являются операторами персональных данных
Персональные данные (ПДн) – это любая информация, которая относится к физическому лицу – субъекту ПДн и помогает идентифицировать его (ч. 1 ст. 3 № 152-ФЗ). К таким данным относятся общие сведения о человеке: фамилия, имя, отчество, дата и место рождения, данные документа, удостоверяющего личность, другие сведения, по которым прямо или косвенно можно определить конкретного человека.
Действия, которые совершаются с ПДн: сбор, запись, систематизация и накопление, хранение, обновление, изменение, использование, передача и др. – называются их обработкой (ч. 3 ст. 3 № 152-ФЗ). Лица и организации, обрабатывающие персональные данные, являются операторами ПДн.
УО, ТСЖ и кооперативы обрабатывают персональные данные жителей многоквартирных домов в силу пп. 2 ст.
6 № 152-ФЗ: начисляя плату за ЖКУ, ведя реестры собственников, оформляя платёжные документы, передавая ПДн собственников помещений в РСО при заключении прямого договора.
Обработку персональных данных подразумевают заключённый УО с собственниками помещений в МКД договор управления или устав ТСН (ст. ст. 135, 155, 162 ЖК РФ).
Вправе ли УО передавать РСО персональные данные при прямом договоре
Роскомнадзор получил право проводить проверки операторов персональных данных
Поскольку УО, ТСЖ и ЖК работают с персональными данными собственников и жителей многоквартирных домов, то к ним применяются нормы постановления Правительства РФ от 13.02.2019 № 146. Постановлением в соответствии с ч. 1.1 ст. 23 № 152-ФЗ утверждены Правила проведения государственного контроля и надзора за обработкой персональных данных.
Согласно п. 2 ПП РФ № 146, функции госконтроля и надзора за обработкой ПДн возложены на Роскомнадзор. Ведомство должно предупреждать, выявлять и пресекать нарушения в деятельности операторов персональных данных.
Для этого Роскомнадзор уполномочен проводить плановые и внеплановые, документарные и выездные проверки, профилактические мероприятия, принимать меры, чтобы устранить последствия противоправных действий операторов ПДн (п. 3 ПП РФ № 146).
Уо и тсж могут попасть в план проверок раз в два года
Плановые проверки в отношении операторов персональных данных проводятся в соответствии с графиком, размещённым в интернете. Попасть в такой план может любой оператор ПДн, если с момента его регистрации как юрлица или с момента последней проверки прошло 3 года (п.п. 5, 6 ПП РФ № 146).
При этом поставщики информации в государственные информационные системы могут оказываться в плане по контролю чаще: раз в два года (пп. «а» п. 7 ПП РФ № 416).
Роскомнадзор имеет право проводить и внеплановые проверки операторов ПДн по нескольким основаниям:
- неисполнение выданного ранее предписания по устранению нарушений;
- по требованию прокурора, поручению Президента РФ, Правительства РФ;
- по заявлению граждан, если они в обращении докажут факт нарушения их прав;
- по результатам проверки, проведённой Роскомнадзором без взаимодействия с оператором ПДн.
Внеплановые проверки, организованные по двум последним приведённым выше причинам, должны быть согласованы с прокуратурой.
Роскомнадзор об обработке персональных данных
Уо и тсж уведомляются за 3 дня или за 24 часа до начала проверки
О проведении плановой проверки Роскомнадзор должен уведомить оператора не позднее, чем за 3 рабочих дня до этого, о внеплановой – не менее чем за 24 часа до её начала (п.п. 11, 12 ПП РФ №416). Копия приказа о проведении проверки направляется проверяемому:
- по почте с уведомлением о вручении;
- по электронной почте, если адрес оператора размещён на его сайте;
- по электронной почте, если оператор сообщал адрес ранее в Роскомнадзор;
- либо другим доступным способом.
При этом электронный образ документа должен быть подписан усиленной электронной подписью уполномоченного должностного лица Роскомнадзора.
Срок проведения плановой проверки – 20 рабочих дней, внеплановой – 10 рабочих дней. Продлить проверку можно не более, чем в два раза (п.п. 16, 17 ПП РФ № 416). Во время контрольных мероприятий проверяются соблюдение оператором требований к обработке ПДн, документы и информационные системы персональных данных.
Оператор ПДн обязан ответить на запрос Роскомнадзора в течение 5 рабочих дней
Роскомнадзор может проводить плановые выездные и документарные проверки. Внеплановые проверки могут быть только выездными (п. 25 ПП РФ № 416).
В рамках документарной проверки оператор ПДн должен предоставить документы и информацию по запросу ведомства в течение 5 рабочих дней со дня получения письма (п. 27 ПП РФ № 416). Документы предоставляются в виде заверенных печатью и подписью копий либо в электронном виде с использованием усиленной электронной подписи.
Дополнительные пояснения в рамках той же проверки должны быть направлены оператором ПДн в ведомство в течение 3 рабочих дней после получения запроса (п. 30 ПП РФ № 416).
Необходимо обратить внимание, что дата поступления ответа на запрос от оператора – это дата, которую указывает Роскомнадзор при принятии пакета документов, а не дата его отправки. Если документы не предоставлены в срок, то в отношении оператора проводится выездная проверка.
Что делать с персональными данными в протоколе ОСС для ГИС ЖКХ
Оператор ПДн обязан создать условия для проведения проверки
Если документарная проверка проходит по месту размещения Роскомнадзора, то выездная – по месту размещения оператора персональных данных. Если оператор является физическим лицом, а не юрлицом или индивидуальным предпринимателем, то в его отношении выездная проверка проводиться не может (п. 32 ПП РФ № 416).
Перед началом проверки должностное лицо Роскомнадзора должно предъявить удостоверение и ознакомить проверяемого с приказом о проведении выездной проверки (п. 33 ПП РФ № 416). Оператор ПДн со своей стороны должен создать необходимые условия для проведения контрольных мероприятий, обеспечить доступ в помещения и к оборудованию.
Если проверяемый препятствует действиям сотрудников Роскомнадзора, проводящих проверку, то об этом составляется акт. Затем контрольный орган имеет право обратиться в прокуратуру или в правоохранительные органы (п. 38 ПП РФ № 416).
При составлении такого акта, а также при отсутствии оператора ПДн в день проверки она приостанавливается до момента устранения причин остановки либо же до проведения внеплановой проверки без предварительного уведомления оператора ПДн (п.п. 39, 40 ПП РФ № 416).
За неустранение нарушений выдаётся требование об остановке обработки персональных данных
По результатам проверки Роскомнадзор составляет в двух экземплярах акт, в котором делает заключение об отсутствии нарушений или об их наличии с указанием на статьи НПА (п.п. 43, 44 ПП РФ № 416). При этом акт должен быть подписан представителем проверяемого юрлица или индивидуального предпринимателя. Если оператор ПДн отказался подписать акт, то об этом в акте делается отметка.
Экземпляр акта проверки вручается оператору персональных данных под подпись или направляется с уведомлением о вручении либо другим доступным способом в течение 10 дней со дня его подписания (п. 44 ПП РФ № 416).
Если Роскомнадзор выявил нарушения при проверке, то вместе с актом оператору вручается предписание об устранении нарушений со сроком выполнения не более 6 месяцев с дня вручения этих документов (п. 47 ПП РФ № 416). Оператор должен предоставить в Роскомнадзор информацию о выполнении предписания – в ином случае в его отношении проводится внеплановая выездная проверка.
Если невыполнение предписания влечёт нарушение прав и интересов субъектов персональных данных, то оператор обязан по требованию Роскомнадзора прекратить обработку любых персональных данных до устранения допущенных нарушений (п. 50 ПП РФ № 416). Если этого не сделать, оператор ПДн будет привлечён к административной ответственности.
Важно знать
- Правила проведение проверок управляющих организаций и ТСЖ как операторов персональных данных во многом схожи с правилами проверок, которые проводит в их отношении орган Госжилнадзора.
- УО и ТСЖ должны иметь в виду, что Роскомнадзор имеет право планово проверять их чаще, чем других операторов ПДн, поскольку они являются поставщиками информации в ГИС ЖКХ.
- В ходе контрольных мероприятий будут проверяться как документы, так и порядок их хранения и информационные системы, с помощью которых происходит обработка ПДн.
- Хотя внеплановыми могут быть только выездные проверки, плановая документарная проверка легко может превратиться во внеплановую, если Роскомнадзор обнаружит какие-либо нарушения в работе оператора ПДн или в срок не получит необходимые документы.
В случае неустранения нарушений, затрагивающих интересы и права субъектов ПДн, оператор обязан остановить любую обработку персональных данных. В отношении УО и ТСЖ это значит, что в такой ситуации они не смогут выставлять счета на оплату жилищно-коммунальных услуг, проводить общие собрания собственников, передавать данные в РСО в рамках договоров ресурсоснабжения и даже обрабатывать заявки, поступающие в аварийно-диспетчерскую службу.
Операторов обработки персональных данных начнут проверять по новым правилам
Обратите внимание на дату публикации материала: информация могла устареть из-за изменений в законодательстве или правоприменительной практике.
Как теперь будут проводиться проверки юрлиц и индивидуальных предпринимателей и как к ним подготовиться?
13 февраля 2019 г. Правительством РФ были приняты1 Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных (далее – Правила). Они вступили в силу 23 февраля и обязательны к применению Роскомнадзором, который и должен контролировать обработку таких данных.
Если вы собираете, храните и используете персональные данные, то мы рекомендуем вам ознакомиться с нововведениями в процедуре проведения плановых и внеплановых проверок, внесенными новыми Правилами.
Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных). Проверки операторов осуществляются согласно п. 1 Правил и ч. 1.1 ст. 23 Закона о персональных данных2.
В то же время из п. 6 Правил следует, что плановые проверки проводятся в отношении юридических лиц и индивидуальных предпринимателей. В отношении иных лиц, судя по всему, будут проводиться только внеплановые проверки.
Стоит учитывать, что на порядок осуществления таких проверок не распространяются положения Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»3 (п. 20 ч. 3.1 ст. 1 этого закона).
Это означает, что правительство вправе устанавливать иной порядок организации и проведения проверок, чем тот, который определен данным законом. Принятые Правила на данный момент в целом соответствуют Закону о проверках, но в последующем они могут быть изменены.
Оператору при этом необходимо будет руководствоваться именно положениями Правил, а не нормами Закона о проверках.
Ранее проверки и иные подобные мероприятия проводились на основании Административного регламента Роскомнадзора (далее – Регламент).
Он не был изменен и не утратил силу на момент подготовки данного материала. Однако применяться Регламент будет лишь в той части, которая не противоречит Правилам, поскольку они утверждены нормативным актом более высокого уровня. Можно ожидать, что Регламент будет приведен в соответствие с Правилами в ближайшее время.
Пунктом 33 Регламента установлено, что плановые проверки проводятся один раз в три года. Данный срок указан и в п. 6 Правил.
Кроме того, определено специальное правило в отношении операторов:
- обрабатывающих персональные данные в государственных информационных системах;
- осуществляющих сбор биометрических или специальных категорий персональных данных;
- осуществляющих трансграничную передачу персональных данных на территорию, на которой не обеспечивается адекватная защита прав субъектов;
- осуществляющих обработку персональных данных по поручению иностранного лица или органа власти, которые не зарегистрированы в России.
Плановые проверки таких операторов будут проводиться один раз в два года.
Сведения о проведении плановых проверок должны быть включены в ежегодный план, размещаемый Роскомнадзором на своем официальном сайте. Кроме того, о плановой проверке ведомство должно уведомить оператора не позднее чем за три рабочих дня до начала ее проведения. Сообщается об этом заказным письмом или по электронной почте, если ее адрес размещен на сайте оператора.
О проведении внеплановой проверки Роскомнадзор обязан уведомить оператора любым способом не позднее чем за 24 часа до начала ее проведения.
Пунктом 20 Регламента было установлено, что срок проведения плановых и внеплановых проверок не может превышать 20 рабочих дней и может быть продлен не более чем на 20 рабочих дней. Для субъектов малого предпринимательства были определены иные сроки проведения проверок: не более 50 часов для малого предприятия и не более 15 часов для микропредприятия.
В новых Правилах сократили срок проведения внеплановых проверок. Теперь он составляет не более 10 рабочих дней и может быть продлен в исключительных случаях не более чем на 10 рабочих дней (п. 17 Правил). При этом в Правилах отсутствует указание на другие сроки проведения проверок для субъектов малого предпринимательства.
Также установлено правило исчисления сроков проведения проверок операторов, действующих на территории нескольких субъектов РФ. Они исчисляются в отношении каждого филиала, однако совокупный срок проверки не может превышать более 60 рабочих дней (п. 18 Правил).
Регламентом предусмотрены следующие основания для проведения внеплановых проверок:
- неисполнение оператором выданного Роскомнадзором предписания об устранении нарушений;
- поступление в Роскомнадзор информации о причинении вреда жизни и здоровью граждан или возникновении угрозы причинения такого вреда вследствие ненадлежащего исполнения оператором своих обязанностей;
- приказ руководителя Роскомнадзора или его территориального подразделения, изданный в соответствии с поручением президента, правительства или прокуратуры.
В п. 8 Правил основания для проведения внеплановых проверок несколько изменены:
- они могут быть назначены после поступления в Роскомнадзор любых сведений о нарушении прав субъектов персональных данных, предусмотренных гл. 3 Закона о персональных данных. Например, если такой субъект сообщил об утечке информации;
- поручения президента и правительства, а также требования прокурора являются теперь самостоятельным основанием для проведения внеплановых проверок;
- они также могут быть назначены по решению руководителя Роскомнадзора на основании проведенных сотрудниками этого ведомства мероприятий по контролю без взаимодействия с операторами (о них далее).
Проверки могут проходить в двух формах – документарной (когда Роскомнадзор проверяет предоставленные оператором документы без личной явки к нему) и выездной (когда проверка осуществляется сотрудниками Роскомнадзора по месту нахождения оператора).
Документарными могут быть только плановые проверки (п. 25 Правил). В этом случае Роскомнадзор запрашивает у оператора интересующие документы, которые он обязан представить в течение пяти рабочих дней со дня получения запроса. Непредставление сведений является основанием для привлечения к административной ответственности (ст. 19.7 КоАП РФ).
Если в документах будут выявлены ошибки или неточности, Роскомнадзор направит дополнительный запрос. Ответ на него оператор должен дать в течение трех рабочих дней.
В противном случае Роскомнадзор вправе назначить выездную проверку.
Она осуществляется по месту нахождения оператора и не может проводиться в отношении физических лиц, не являющихся индивидуальными предпринимателями (п. 32 Правил).
Оператор обязан обеспечить сотрудникам Роскомнадзора все условия для проведения проверки, в том числе представить запрошенные ими документы. По итогам составляется акт проверки (п. 42 Правил). В случае выявления нарушений оператору выдается предписание об их устранении. Также он может быть привлечен к административной ответственности.
Правилами регламентирована новая форма осуществления контроля – это мероприятия, которые проводятся без взаимодействия с операторами. В их рамках осуществляются:
- проверка информации, размещенной оператором в интернете и СМИ, – например, сведений о политике обработки персональных данных;
- анализ информации, предоставленной оператором или полученной Роскомнадзором от органов государственной власти в рамках межведомственного взаимодействия, – например, сведений, указанных оператором в уведомлении об обработке персональных данных.
Основаниями для проведения данных мероприятий являются поручения президента, правительства или руководителя Роскомнадзора, а также поступление в Роскомнадзор информации от физических или юридических лиц, из интернета или СМИ о нарушении прав субъектов персональных данных или обязательных требований. Например, причиной такой проверки могут стать размещенные в СМИ сведения о допущенной оператором утечке персональных данных.
Следует учитывать, что Роскомнадзор в первую очередь обращает внимание на следующие моменты:
- было ли подано в Роскомнадзор уведомление об обработке персональных данных, которое требуется для включения в реестр операторов (ст. 22 Закона о персональных данных). Необходимо представить сведения о его направлении или сослаться на одно из оснований, позволяющих обрабатывать данные без уведомления Роскомнадзора. Перечень таких оснований предусмотрен ч. 2 ст. 22 Закона о персональных данных;
- если уведомление было подано – соответствует ли реальное положение дел данным, указанным в нем;
- соблюдены ли требования к неавтоматизированной обработке персональных данных: кто из сотрудников работает с ними, как хранятся документы;
- соблюдены ли требования к автоматизированной обработке данных (за исключением требований, связанных с безопасностью);
- утверждена ли политика обработки персональных данных. Если данные собираются через сайт компании – размещены ли сведения об этой политике на сайте;
- данные каких субъектов обрабатываются и на каком основании. Допустимые основания перечислены в ч. 1 ст. 6 Закона о персональных данных;
- если обработка осуществляется на основании согласия субъекта персональных данных – соблюдены ли требования закона к такому согласию (ст. 9 Закона о персональных данных);
- передаются ли персональные данные третьим лицам. Если да, соблюдаются ли требования закона, касающиеся передачи: наличие согласия субъекта; соответствующие условия в договоре с третьими лицами; требования, касающиеся трансграничной передачи данных;
- обрабатываются ли специальные категории персональных данных и биометрические данные. Соблюдены ли условия для такой обработки;
- соблюдаются ли требования о локализации персональных данных (ч. 5 ст. 18 Закона о персональных данных).
Если осуществляется внеплановая проверка в связи с поступлением в Роскомнадзор сведений о нарушениях прав субъектов персональных данных или если ведомство выявило такие нарушения в ходе проведения дистанционного контроля – рекомендуется заранее предоставить пояснения по выявленным нарушениям.
Следует учитывать, что утвержденные Правила не распространяются на контроль и надзор за обеспечением безопасности обработки персональных данных, которая осуществляется в информационных системах, установленных в соответствии со ст. 19 Закона о персональных данных. Контролируют выполнение этих требований закона ФСБ и ФСТЭК.
В этом случае оператору направляется требование об устранении нарушений, которое должно быть исполнено в течение 10 дней. Также может быть назначена внеплановая проверка.
Невыполнение предписания уполномоченного органа является основанием для привлечения к административной ответственности (ч. 1 ст. 19.5 КоАП РФ) и наложения штрафа в размере до 500 руб. на граждан, до 2 тыс. руб. – на должностных лиц, до 20 тыс. руб. – на организации. Должностное лицо может быть также дисквалифицировано на срок до трех лет.
Кроме того, оператор может быть привлечен к административной ответственности (ст. 13.11 КоАП РФ), если в его действиях будут выявлены признаки правонарушения в сфере персональных данных. Например, если станет известно, что оператор не опубликовал сведения о политике обработки персональных данных, то он может быть привлечен к ответственности по ч. 3 ст. 13.11 КоАП РФ.
Оператор может обжаловать действия проверяющих и их решения.
Жалоба направляется руководителю территориального подразделения Роскомнадзора или руководителю ведомства, если нарушения допущены сотрудниками центрального подразделения.
Жалоба может быть устной или письменной, в том числе в форме электронного документа, и должна быть рассмотрена должностным лицом в течение 30 дней со дня ее регистрации.
Акт проверки, составленный сотрудниками Роскомнадзора, может быть оспорен в досудебном порядке, описанном выше, либо в судебном порядке.
Привлечение оператора к административной ответственности может быть обжаловано в порядке, предусмотренном КоАП РФ.
1 Постановление Правительства РФ от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».
2 Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
3 Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
Проверка Роскомнадзора 2023. План. Что проверяют
Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.
Полномочия Роскомнадзора
У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:
- Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
- Надзор над предоставлением услуг в области связи.
- Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
- Ведение информационной системы, реестров операторов связи.
- Регистрация СМИ.
- Защита информации, являющейся государственной тайной.
Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Что именно будут проверять
Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.
СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.
Роскомнадзор контролирует следующие направления:
- Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
- Системы, осуществляющие обработку данных (ПК и программы).
- Наличие локальных нормативных актов.
- Исполнение положений этих актов.
- Сайт организации.
Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.
Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:
- Учредительная документация (ИНН, устав и прочее).
- Уведомление о том, что фирма работает с ПД.
- Перечень ПД, сбор которых осуществляется.
- Перечень работников, у которых есть доступ к данным.
- Приказ о допуске таких сотрудников к ПД.
- Инструкции для специалистов, которые работают с данными.
- Положение об ответственности сотрудников за разглашение ПД.
- Документ об обработке ПД.
- Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
- Соглашение о неразглашении ПД.
- Письменное согласие лиц на обработку.
- Журналы инструктажей относительно мер безопасности.
- Журналы учета носителей сведений.
Роскомнадзор также может затребовать и другие документы.
Продолжительность проверки
Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней.
Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников.
Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.
Особенности подготовки к проверке
Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением.
Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее.
Однако вариант с наймом сотрудника актуален только для больших предприятий.
Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:
- Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
- Проверка соответствия деятельности информации, прописанной в едином реестре.
- Назначение лица, ответственного за работу с ПД.
- Составление Политики фирмы в отношении обработки ПД.
- Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
- Проверка правильности хранения документов, ограниченности доступа к ним.
- Проверка системы безопасности: наличие замков и сейфов.
Для подготовки бумаг можно использовать специальные онлайн-сервисы.
Как осуществляется проверка
Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие.
Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней.
Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.
Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.
Результаты проверки
В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.
Можно ли обжаловать результаты проверки?
Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения.
Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции.
Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.
Проверка Роскомнадзора: как к ней подготовиться, чтобы избежать штрафов
Как подготовиться к проверке Роскомнадзора и избежать штрафа. Что проверяет Роскомнадзор и как часто – узнайте в нашей статье.
С 27 июля 2006 года в Российской Федерации действует Федеральный закон № 152-ФЗ «О персональных данных». Этот закон регулирует деятельность многих организаций в стране, а за исполнением требований законодательного акта следит Роскомнадзор. На практике многие организации узнают о хитросплетениях законодательства непосредственно во время аудита, который проводит контролирующий орган.
Как часто проводятся проверки Роскомнадзора
Федеральная служба по надзору в сфере связи проводит несколько видов аудита. Проверки можно разделить по срокам:
Плановые проверки проводятся по утвержденному Плану, опубликованному на сайте регионального Управления Роскомнадзора в Плане деятельности управления. При плановом аудите служба присылает уведомление о проверке не позднее чем за 3 дня до ее начала.
Внеплановый аудит, как правило, назначается после выявления нарушений в деятельности организации, которая осуществляет сбор и обработку персональных данных пользователей, или жалоб пользователей на незаконную обработку данных. О проведении такой проверки федеральная служба уведомляет всего за 24 часа до ее начала.
Начиная с 2016 года, Роскомнадзор внедрил практику систематического наблюдения. Это значит, что сайт организации – оператора связи – с определенной частотой проверяется на соответствие требованиям № 152-ФЗ.
Федеральная служба не публикует список организаций, которые будут подпадать под интерес в выделенный период, но разделяет сферы деятельности, которые находятся под пристальным контролем: это государственные и муниципальные органы, учреждения образования, финансово-кредитные организации, организации здравоохранения и пр.).
Если федеральная служба обнаруживает нарушения на сайте в ходе систематического наблюдения, то выносит предписание об их устранении в положенный срок. Кроме того, может быть назначена дополнительная внеплановая проверка.
Аудит может быть документарным. Это значит, что федеральная служба по надзору в сфере связи запрашивает список документов, копии которых требуется предоставить в территориальное управление Роскомнадзора.
Нередко проверка осуществляется в формате инспекционного визита.
Что проверяет Роскомнадзор
Стоит выделить несколько ключевых вопросов, которые во время аудита обращают на себя внимание контролирующего органа:
- Наличие Уведомления об обработке персональных данных и соответствие указанной в нем информации. Роскомнадзор отслеживает актуальность Уведомления, поэтому в случае смены цели обработки персональных данных или ответственного лица необходимо предупреждать федеральную службу.
- Соответствие документа о защите персональных данных требованиям законодательства. Их достаточно много: в организации должны регулярно проводиться внутренние мероприятия по проверке и защите персональных данных, данные должны уничтожаться по достижении цели их получения и обработки, а доступ к помещениям и носителям информации должен быть контролируемым. Причем все эти действия должны быть подкреплены документально.
- Соответствие формы согласия на обработку персональных данных.
- Наличие разрешения на обработку специальных категорий персональных данных.
- Соблюдение условий Положения о локализации хранения персональных данных.
- Осведомленность сотрудников о положениях законодательства РФ о работе с персональными данными и локальными актами организации.
Как готовиться к проверке персональных данных Роскомнадзора
Так как аудит бывает плановым и внеплановым, организациям рекомендуется всегда быть наготове. Кроме того, есть несколько мер, которые помогают подготовиться и пройти аудит.
- Можно прибегнуть к помощи сторонних специалистов, которые осуществляют сбор необходимой информации, разработку и утверждение пакета документации. Этот метод подходит для тех, кто только начинает работу. В законодательной базе регулярно фиксируются изменения, а федеральная служба строго следит за соблюдением требований законодательства.
- Самостоятельная подготовка к аудиту не всегда проходит успешно, так как отсутствие квалифицированных специалистов и знаний тонкостей законодательства приводят к ошибкам.
- Использование специальных сервисов помогает существенно снизить риски ошибок. Например, сервис проверки контрагентов позволяет провести комплексную проверку на благонадежность и снижает потенциальные угрозы для бизнеса.
Подготовка к аудиту Роскомнадзора выглядит следующим образом:
- Внутренняя проверка, которая поможет проанализировать процесс обработки персональных данных в организации. Выделяются список информационных систем, в которых осуществляется процесс сбора и обработки персональных данных, цели обработки, категории данных и субъектов, данные которых собирает организация.
- Назначение лиц, ответственны за организацию и процесс сбора персональных данных и их безопасность.
- Разработка и утверждение документации, закрепляющей внутренний порядок работы с персональными данными.
- Составление и направление уведомления о намерении осуществлять обработку и сбор данных в Роскомнадзор.
Специальные инструменты, в число которых входит и сервис проверки контрагентов, упрощают процесс сбора и обработки персональных данных и повышают безопасность этого процесса для бизнеса.
При выявлении нарушений федеральная служба по надзору в сфере связи оформляет акт с предписание об устранении и передает информацию в суд. Нарушения в области персональных данных караются штрафами от Роскомнадзора в размере до 200 000 рублей должностным лицам, до 6 000 000 рублей – организациям.
Успешно пройти проверку вполне реально, для этого важно разработать полный пакет документации, регулярно его актуализировать и изучать успешный опыт прохождения аудита сторонними организациями, работающими в смежных сферах.
Что проверяет Роскомнадзор по персональным данным?
В предыдущем материале мы рассказали, что интересует ФСБ при проверке, связанной с персональными данными. Сейчас мы поговорим о Роскомнадзоре. Если Федеральную Службу Безопасности по большей части интересует технический вопрос, как хранятся, обрабатываются персональные данные, то Роскомнадзор акцентирует свое внимание на организационных мерах.
Получить оценку защищенности
Список основных документов, содержащих правовые основания для проверки выглядит следующим образом:
Что проверяют?
Проверяют условия обработки персональных данных, делая упор исключительно на состоянии организационных мер по защите информации. В технические меры не углубляются, хотя обязательно посмотрят все информационные системы персональных данных в организации. Накануне проверки срочно устанавливать пароли на всех компьютерах нет особой необходимости, на это обращать внимания не будут.
А конкретнее?
Если конкретнее, то стоит отметить, что в разных регионах специфика проверок разная. В этом мы убедились из опыта общения с различными учреждениями, «коллегами по цеху» и непосредственно представителями проверяющего ведомства. Единую таблетку от всех проверок выписать невозможно, однако сформулировать ряд рекомендаций – вполне.
Итак, в базе Роскомнадзора должны быть сведения об операторе персональных данных, то есть, о вас. Есть исключения, но, если к вам идет проверка – значит, вы, скорее всего, у них в базе числитесь. Сведения должны быть актуальными.
Ваш сайт должен соответствовать требованиям законодательства. То есть, если у вас есть разделы «обратная связь», «обращение граждан» или другие подобные формы, на которых вы собираете любые данные о физических лицах, то вы обязаны взять с этого лица согласие на обработку его персональных данных.
В настоящее время идут споры о том, является ли простановка галочки в чек-боксе юридически значимым действием, однако, сами проверяющие относятся к этому вполне лояльно. Кроме того, законодательство обязывает организацию разместить на сайте «Политику в отношении обработки персональных данных».
Желательно размещать ее в таком месте, чтобы ее можно было найти как можно проще.
Что касается списка документов по защите персональных данных для проверки Роскомнадзора, то можно выделить следующие основные группы документов:
- По неавтоматизированной обработке персональных данных. Включают в себя перечень мест хранения бумажных носителей персональных данных, лиц, имеющих к ним доступ, и положение о неавтоматизированной обработке персональных данных;
- О приеме обращений субъектов персональных данных. Включает в себя положение о порядке приема обращений, набор шаблонов заявлений и обращений по этому вопросу;
- Для работы отдела кадров. Включают в себя согласия на обработку персональных данных работников и журнал ознакомления сотрудников с положениями по защите персональных данных в организации;
- По установлению уровня защищенности для информационных систем персональных данных. Включают в себя акты установления уровня защищенности информационных систем персональных данных и положения о мерах по обеспечению принятых уровней защищенности;
- О назначении ряда ответственных сотрудников по работе с персональными данными. Включают в себя назначения ответственного за организацию обработки персональных данных, ответственного за обеспечение контролируемой зоны, ответственного за безопасность информации, ответственных за обеспечение конфиденциальности персональных данных во всех подразделениях;
- По защите от несанкционированного доступа. Включают в себя положения о порядке устранения последствий от несанкционированного доступа, назначения ответственного за восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- По правилам уничтожения персональных данных. Включают в себя положения об уничтожении персональных данных, назначение комиссии по уничтожению персональных данных, акты уничтожения материальных носителей персональных данных;
- О разграничении доступа к персональным данным. Включают в себя списки сотрудников, допущенных до обработки персональных данных, списки сотрудников, допущенных в кабинеты и/или информационные системы персональных данных, положения о разграничении прав доступа, матрицу доступа, инструкции пользователям и администраторам;
- По работам с персональными данными. Перечень носит объемный характер и, в общем случае, содержит множество инструкций, регламентов и правил, описывающих хранение и передачу персональных данных внутри организации.
Безусловно, не стоит забывать про модель угроз. Сам документ проверяющие из РКН не смотрят, но им важно его наличие. Модель угроз – это вотчина ФСТЭК, но это тема совершенно другой статьи.
А штрафы?
Штрафы есть. Они определены Статьей 13.11 КоАП. В отличие от Проверки ФСБ, Роскомнадзор предпочитает накладывать штраф не на физическое лицо, а на юридическое. Стоит отметить, что штрафы суммируются. Так что сумма наказания вполне может достигать размера в 150 000 рублей.
Чтобы избежать наложения таких штрафов, мы рекомендуем обращаться к профессионалам. Как минимум, с целью проведения обследования состояния вашей системы документов и получения рекомендаций по их доработке. Это, в любом случае, поможет вам лучше разобраться в состоянии дел по защите персональных данных в вашей организации.
Вывод
Проверку можно легко пройти, если на вас нет «зуба» у проверяющих, и вы подготовились к их приходу, т.е. собрали необходимые документы, сделали и заверили копии, а также подготовили сотрудников, чтобы те не говорили лишнего. О том, как правильно подготовить сотрудников к предстоящим проверкам регуляторов, мы обязательно напишем в следующих статьях.
И по традиции, полезность! Мы подготовили для вас комплект документов, которые понадобятся при проверке со стороны Роскомнадзора, ну или просто если вы решите привести в порядок организационно-разрешительную документацию по защите персональных данных на предприятии.
Вы получите следующие шаблоны документов:
- Приказ об утверждении правил рассмотрения запросов субъектов персональных данных;
- Приказ о порядке уничтожения персональных данных.