Плановые проверки роскомнадзора на 2021 год
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Плановые проверки роскомнадзора на 2021 год». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
- Виды проверок
- Что проверяет Роскомнадзор
- Как подготовиться к проверке Роскомнадзора
- Как проходит проверка Роскомнадзора
- Советы предпринимателям
Срок хранения информации определяет человек, когда подписывает согласие на их обработку. Работодатель обязан уничтожить персональные данные, если:
- достигнуты цели;
- истек срок хранения, указанный в согласии;
- сам субъект попросил уничтожить персональные данные;
- данные обработали неправомерно, например с другими целями.
- субъект персональных данных отозвал согласие на обработку персональных данных полностью или частично.
В этих ситуациях вы должны уничтожить документы, содержащие персональные данные, а также данные из информационных систем и оформить документ, который защитит интересы компании перед Роскомнадзором, — акт. Формат акта законодательно не определен, но вы можете утвердить его ЛНА.
Создайте комиссию из тех сотрудников, которые будут фактически уничтожать персональные данные в информационных системах и на бумажных носителях.
В шпаргалке собрана полезная информация из статьи:
-
Перечень НПА для оператора персданных 630.2 КБ
-
Правила поведения за компьютером 624.3 КБ
С 1 июля 2021 года на основании 248-го закона налоговые органы могут навестить представителей МСП, используя следующие формы проверок:
-
Контрольная закупка – позволяет оценить соблюдение требований при продаже товаров или услуг, выполнения работ. Проводится без предварительного уведомления.
-
Мониторинговая закупка – проводится для того, чтобы направить товары или результат оказания услуг на дальнейшую экспертизу. Проводится без предварительного уведомления.
-
Выборочный контроль – отбор проб (образцов) товаров в местах хранения или продаж для определения степени их безопасности. Проводится по согласованию с прокуратурой, а также в том случае, если ранее были нарушения и нужно проверить устранение.
-
Рейдовый осмотр – проверка того, как каждый из владельцев соблюдает требования по эксплуатации объекта контроля. Проводится по согласованию с прокуратурой, по требованию правительства или президента, а также при наличии угрозы для людей, окружающей среды или культурного наследия.
-
Документарная проверка – проводится без предварительного согласования, подразумевает изучение документов, относящихся к деятельности компании, ее организационно-правовой форме, а также к исполнению требований контролирующих органов.
-
Выездная проверка – позволяет оценить соблюдение действующих требований контролирующего ведомства, а также полученных предписаний. Проводится по согласованию с прокуратурой, организация получает уведомление за сутки до начала мероприятия.
-
Выездное обследование – визуальная оценка соблюдения требований (например, инспекторы могут изучить входную группу с точки зрения удобства маломобильных граждан). Проводится без предварительного уведомления.
В отдельных случаях представители налоговой службы могут навестить предпринимателя в профилактических целях: для консультирования, предостережения, информирования и пр.
Проверка Роскомнадзора: как подготовиться работодателю
У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:
- Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
- Надзор над предоставлением услуг в области связи.
- Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
- Ведение информационной системы, реестров операторов связи.
- Регистрация СМИ.
- Защита информации, являющейся государственной тайной.
Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.
СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.
Роскомнадзор осуществляет контроль над следующими направлениями:
- Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
- Системы, осуществляющие обработку данных (ПК и программы).
- Наличие локальных нормативных актов.
- Исполнение положений этих актов.
- Сайт организации.
Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.
Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.
На каком основании? Внеплановые проверки в 2021 году
Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.
Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.
Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.
- Об использовании информации сайта
- Об использовании персональных данных пользователей информации
- О разработке и администрировании сайта
- Технические сведения
- Написать разработчику
В Трудовом Кодексе РФ 14 глава называется: «Защита персональных данных работника». Государственная инспекция труда проводит контрольно-надзорные мероприятия по поводу выполнения требований всего Трудового кодекса и, соответственно, не может обойти стороной главу 14. На проверках обращают внимание на требование пункта 8 статьи 86: «работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области». Таким образом, проверяют наличие такого документа и факт ознакомления с ним всех работников.
Административная ответственность за нарушение этих требований предусмотрена статьей 5.27. КоАП — штраф в размере от 30 000 до 50 000 рублей.
Первый шаг – назначение ответственного. За обработку и безопасность персональных данных должны отвечать уполномоченные сотрудники. В зависимости от размера фирмы это может быть руководитель, бухгалтер или кадровик, который занимается этим в качестве дополнительной ответственности, либо специально нанятый для этого сотрудник или отдел.
Второй шаг – выяснение, с какими именно данными имеет дело предприятие. Ответственный за персональные данные должен знать, что именно он собирает и для чего. На основании этого руководитель составляет внутренние инструкции по работе с персональными данными и разрабатывает политику их обработки. С этими документами должны быть ознакомлены все сотрудники, для которых это важно. Последний шаг – уведомление Роскомнадзора, что предприятие работает с персональными данными людей.
Важно! Документарная проверка может быть только плановой, это основной вид инспекций для малых предприятий.
Все эти действия нужно сделать сразу, как только предприятие соберётся работать с персональными данными. Они позволят избежать обвинений в непрозрачности бизнеса, а также срочной подготовки к проверкам и бесконечных стрессов. Если документация ведётся аккуратно, то инспекция не отнимет много времени и нервов.
Сотрудники учреждения должны знать, кто именно отвечает за персональные данные. Ответственный должен регулярно отчитываться руководству о том, как используется информация. Также он должен обеспечить сохранность данных – бумажные документы должны лежать в сейфах с замками, а электронные – в файлах без общего доступа.
Следует предупредить сотрудников, что во время проверок Роскомназдора по плану нужно вести себя спокойно. Излишняя нервозность, неаккуратность в документах могут навести проверяющих на мысль, что дела в организации или отделе идут не так хорошо, как хочется показать.
В отдельных случаях Роскомнадзор проводит незапланированное инспектирование на основании приказа, подписанного уполномоченным должностным лицом. Правила, утвержденные ПП N 146 содержат полный перечень оснований для инициирования внеплановой проверки Роскомнадзора:
- выявления неисполненного или исполненного не полностью предписания, выданного по итогам планового инспектирования;
- нарушения прав граждан, перечисленных ст. 14-17 152-ФЗ, выявленные в результате анализа заявлений пострадавших, поступивших в орган по контролю и надзору;
- поручение органов власти, Президента;
- требование прокурора;
- резолюция руководства Роскомнадзора на основании изучения выводов о наличии нарушений после проведенных проверок без взаимодействия с оператором.
Важно!
Уведомление Роскомнадзора о начале внеплановой проверки обработки персональных данных вручается оператору не позднее, чем за 24 часа до ее начала. В качестве уведомления направляется копия приказа любым доступным способом. В приказе указываются должностные лица, которые уполномочены проводить инспектирование. Внеплановые проверки только выездные. |
Мероприятия по охране труда: план на предприятии
В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.
При плановой ревизии важно:
- какие именно данные обрабатывает компания;
- кто отвечает за обработку;
- где можно ознакомиться с политикой компании (в том числе на сайте);
- кому передаются данные;
- как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
- как хранятся документы, и как контролируется доступ в этих помещениях;
- насколько всё перечисленное соответствует заявленному в документах.
Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.
План проверок предпринимателей на 2021 год
В статье не ставится задача детального описания всей нормативной базы, которая относится или может быть отнесена к области обработки и защиты персональных данных. Рассмотрим основные нормативно-правовые акты в области обработки и защиты персональных данных, которые являются минимально необходимыми и достаточными для выполнения среднестатистической российской компанией установленных требований законодательства.
Основные требования в области обработки персональных данных содержатся в следующих нормативных документах:
- федеральных законах (основным федеральным законом является ФЗ-152 «О персональных данных»);
- постановлениях Правительства Российской Федерации;
- ведомственных документах (различных нормативных актах Роскомнадзора, ФСТЭК России и ФСБ).
На рисунке ниже представлена структура основных нормативно-правовых актов в области обработки и защиты персональных данных, которые необходимо знать перед грядущей проверкой. При этом еще раз обращаем внимание на то, что в статье не рассматриваются различные федеральные законы в сфере информационных технологий и защиты информации, указы Президента, постановления Правительства РФ для государственных и муниципальных органов, документы в области лицензирования деятельности по технической защите конфиденциальной информации и т. д.
Рисунок 1. Структура основных нормативно-правовых актов в области обработки и защиты персональных данных
Определившись с законодательством РФ в области обработки персональных данных, перейдем к рассмотрению регуляторов, которые могут выступать в роли проверяющих в области обработки персональных данных.
В соответствии с ФЗ-152 функции по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ осуществляет уполномоченный орган по защите прав субъектов персональных данных, которым является федеральный орган исполнительной власти — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Но Роскомнадзор может контролировать только вопросы, связанные с обработкой персональных данных, а именно соответствие такой обработки требованиям законодательства. Выполнение организационных и технических мер по обеспечению безопасности персональных данных контролируют органы исполнительной власти, уполномоченные в области обеспечения безопасности и в области противодействия техническим разведкам и технической защиты информации — ФСБ России и ФСТЭК России соответственно. ФСТЭК России контролирует вопросы технической защиты персональных данных, ФСБ России — вопросы защиты персональных данных в части использования средств криптографической защиты информации.
Вопросы обработки персональных данных также могут быть затронуты в рамках проверок трудовой инспекции. В этой связи отметим, что основные требования Трудового кодекса выполняются в рамках общего законодательства по персональным данным и в настоящей статье не рассматриваются.
Таким образом, есть три основных регулятора в области обработки и защиты персональных данных. Но при этом стоит отметить, что обозначенные регуляторы могут проверять не все организации. В соответствии с ФЗ-152, ФСТЭК России и ФСБ России уполномочены осуществлять контроль и надзор только при обработке персональных данных в государственных информационных системах, а также, в отдельных случаях, по решению Правительства РФ такие проверки могут осуществляться в отношении информационных систем персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных. Поэтому большая часть компаний не попадает в область интересов указанных структур. В то же время практика проверок частных компаний присутствует, в частности, со стороны ФСБ России, однако она не носит массового характера.
Таким образом, основным регулятором, который может провести проверку любой компании в области обработки персональных данных, является Роскомнадзор. Но если компанию не проверяет ФСТЭК России и ФСБ России, это еще не означает, что можно проигнорировать вопросы обеспечения безопасности персональных данных, потому что сложившаяся практика проверок показывает, что Роскомнадзор при проведении своих проверочных мероприятиях также затрагивает вопросы технической защиты персональных данных. Такая ситуация в сфере проверок в настоящее время превратилась в устоявшуюся практику.
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Подведем итоги:
- Правила проведения проверок на предмет соблюдения требований по защите персональных данных со стороны операторов утверждены в начале 2021 года.
- После утверждения плана проведения проверок с ним можно будет ознакомиться на официальном сайте Роскомнадзора и, соответственно, подготовиться к проверке.
- Внеплановая проверка может быть осуществлена по заявлению гражданина, поручению президента или правительства либо в связи с невыполнением ранее выданного предписания.
Более полную информацию по теме вы можете найти в КонсультантПлюс. Пробный бесплатный доступ к системе на 2 дня.
Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.
СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.
Роскомнадзор осуществляет контроль над следующими направлениями:
- Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
- Системы, осуществляющие обработку данных (ПК и программы).
- Наличие локальных нормативных актов.
- Исполнение положений этих актов.
- Сайт организации.
Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.
Какие проверки ждут малый и средний бизнес в 2021 году?
Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.
Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:
- Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
- Проверка соответствия деятельности информации, прописанной в едином реестре.
- Назначение лица, ответственного за работу с ПД.
- Составление Политики фирмы в отношении обработки ПД.
- Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
- Проверка правильности хранения документов, ограниченности доступа к ним.
- Проверка системы безопасности: наличие замков и сейфов.
Для подготовки бумаг можно использовать специальные онлайн-сервисы.
Служба вправе проводить внеплановые проверки ОПД на основании жалоб, поступивших от сотрудников, клиентов, третьих лиц в части нарушения оператором персональных требованиям действующего законодательства. На основании жалобы руководитель органа Роскомнадзора издает распоряжение о проведении внеплановой проверки организации (ИП), копия которого направляется ОПД вместе с уведомлением о предстоящем контрольном мероприятии.
В ходе проверки Роскомнадзор подтверждает либо опровергает факты правонарушений, допущение ОПД в части сбора, хранения, обработки персональных данных и отраженные в жалобе. Выявленные нарушения инспектор Роскомнадзора отражает в акте проверки, после чего выдает ОПД предписании об их устранении в установленный срок.
— В 2020 году количество проверок бизнеса сократилось вдвое (на 51,4%) — частично благодаря мораторию на плановый контроль малых предприятий, частично из-за пандемии. Чего предпринимателям ждать в 2021 году?
— Если жить в парадигме, что число проверок имеет значение, то их число однозначно вырастет. В 2020-м ведомства и службы проводили намного меньше контрольных мероприятий, и в 2021 году они планируют начать потихоньку наверстывать упущенное: не потому что руки чешутся, а потому что уже действительно пора сходить и посмотреть на некоторые объекты. То есть существует отложенный спрос.
— Какие нововведения появятся в МФЦ в 2021 году?
— Оплата госпошлин по QR-коду. Это экспериментальный проект, сейчас идет только в Липецкой области, но мы надеемся, что в 2021 году он распространится на всю Россию. Суть «пилота» в том, что гражданин, приходя в центр «Мои документы», получает квитанцию с QR-кодом для оплаты. Далее с помощью мобильного приложения «Госуслуги» он его сканирует и вносит данные банковской карты, чтобы списались средства. Для нас важно, чтобы в центрах госуслуг была возможность заплатить, причем быстро и без бюрократизма, тем более что многие уже привыкли проводить моментальные трансакции с помощью карты или мобильного телефона.
Как проводится проверка Роскомнадзора
Что проверяет Роспотребнадзор: как часто проводятся проверки
По законодательству оператором персональных данных считается любая организация, которая взаимодействует с людьми и их документами, т.е. под это определение подпадают все предприятия, где в штате больше одного человека. Проверка касается не только юридических лиц, но и ИП, в которых есть хотя бы один наёмный сотрудник, и даже физических лиц, если они работают с чужими карточкам.
Важно! Если документы содержатся в порядке, то специальной подготовки к ревизии Роскомнадзора не потребуется.
Подготовку лучше начать с того, что изучить план проверок Роскомнадзора на 2021 год. Если в нём нет нужной организации, значит, в этом году можно не бояться. О плановой проверке дополнительно приходит предупреждение за 3 дня до неё, но на всякий случай лучше держать документы в порядке постоянно.
Первый шаг – назначение ответственного. За обработку и безопасность персональных данных должны отвечать уполномоченные сотрудники. В зависимости от размера фирмы это может быть руководитель, бухгалтер или кадровик, который занимается этим в качестве дополнительной ответственности, либо специально нанятый для этого сотрудник или отдел.
Второй шаг – выяснение, с какими именно данными имеет дело предприятие. Ответственный за персональные данные должен знать, что именно он собирает и для чего. На основании этого руководитель составляет внутренние инструкции по работе с персональными данными и разрабатывает политику их обработки. С этими документами должны быть ознакомлены все сотрудники, для которых это важно. Последний шаг – уведомление Роскомнадзора, что предприятие работает с персональными данными людей.
Важно! Документарная проверка может быть только плановой, это основной вид инспекций для малых предприятий.
Все эти действия нужно сделать сразу, как только предприятие соберётся работать с персональными данными. Они позволят избежать обвинений в непрозрачности бизнеса, а также срочной подготовки к проверкам и бесконечных стрессов. Если документация ведётся аккуратно, то инспекция не отнимет много времени и нервов.
Сотрудники учреждения должны знать, кто именно отвечает за персональные данные. Ответственный должен регулярно отчитываться руководству о том, как используется информация. Также он должен обеспечить сохранность данных – бумажные документы должны лежать в сейфах с замками, а электронные – в файлах без общего доступа.
Следует предупредить сотрудников, что во время проверок Роскомназдора по плану нужно вести себя спокойно. Излишняя нервозность, неаккуратность в документах могут навести проверяющих на мысль, что дела в организации или отделе идут не так хорошо, как хочется показать.
Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:
- уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
- уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
- персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).
Стоит заметить, что и здесь есть подводные камни. Например, сейчас многие организации, особенно государственные, реализуют зарплатные проекты по перечислению кровнозаработанных рублей сотрудникам прямиком на банковские карты. Это очень удобно и для работодателей и для сотрудников, и банку тоже выгодно. Но при осуществлении такого проекта, как ни крути, приходится передавать данные своих сотрудников в банк. И такая передача персональных данных третьим лицам уже не регламентируется трудовым законодательством, а значит, первое исключение из списка выше не работает, следовательно, нужно подавать уведомление об обработке персональных данных в Роскомнадзор.
Далее, не зависимо от того, какой результат мы получили на предыдущем этапе, нужно проверить, есть ли запись о вашей организации в реестре операторов персональных данных. Здесь легко можно найти запись в реестре по названию или ИНН организации.
Дальше ваши действия должны выглядеть примерно следующим образом.
Если организация попадает под исключения и уведомления нет — отлично, так и должно быть! Ничего не делаем.
Если организация попадает под исключения, но уведомление есть в реестре. Что ж, возможно кто-то несколько лет назад, например, по указанию уже ушедшего на пенсию руководителя, направил это уведомление. Но это можно исправить. Предусмотрена процедура по исключению организаций из реестра операторов ПДн. Для этого нужно просто написать письмо в территориальное управление Роскомнадзора с указанием номера уведомления и описанием причин, почему ваша организация не обязана находиться в реестре операторов персональных данных. Затем в том же письме просим удалить соответствующую запись из реестра. Ждем 30 дней. Проверяем. Если запись осталась в реестре, созваниваемся с Роскомнадзором и уточняем получено ли и отработано ли ваше письмо.
Если организация не попадает под исключения, но уведомления в реестре нет — срочно идем заполнять уведомление! Почему срочно? Да потому что по закону уведомление необходимо заполнять до начала обработки персональных данных, если такая обработка не попадает под все те же исключения из 22 статьи закона №152-ФЗ «О персональных данных». О том, как правильно и грамотно заполнить уведомление с нуля или прокачать уже существующее планируется одна из следующих статей.
Ну и последний вариант: организация не попадает под исключения, но уведомление в реестре есть. Хотел бы я тут написать, как и в первом случае, что ничего не нужно делать, но нет. Не зря я выше сказал, что помимо отсутствия уведомления как такового, одной из частых причин предписания по итогам проверки и выписывания штрафа по статье 13.11 КоАП РФ является несоответствие данных в уведомлении тому, что происходит на самом деле. Например, указаны не все категории обрабатываемых персональных данных или не указаны меры по обеспечению безопасности ПДн. Причин такому несоответствию может быть много, но вот две основные:
- уведомление заполнялось давно и в организации действительно с тех пор изменились многие условия обработки персональных данных;
- уведомление заполнялось для галочки без должного анализа ситуации и сбора информации.
Для таких случаев на портале персональных данных предусмотрена форма для внесения изменений в существующее уведомление.
После заполнения формы о внесении изменений (или первичного уведомления) необходимо распечатать получившийся на выходе документ, подписать, поставить печать (если есть) и отправить аналоговым письмом в территориальное управление Роскомнадзора. Только на основании бумажного письма будет внесена запись в реестр или внесены изменения в уже существующую запись.
С 1 июля 2021 года проверки будут проходить по новому закону.
Мероприятия по охране труда: план на предприятии
В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.
При плановой ревизии важно:
- какие именно данные обрабатывает компания;
- кто отвечает за обработку;
- где можно ознакомиться с политикой компании (в том числе на сайте);
- кому передаются данные;
- как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
- как хранятся документы, и как контролируется доступ в этих помещениях;
- насколько всё перечисленное соответствует заявленному в документах.
Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.
При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.
В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.
Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований.
Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять.
Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.
- данные, которые обрабатываются в соответствии с трудовым законодательством;
- данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
- данные, сделанные субъектом персональных данных общедоступными;
- данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
- данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
- данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.
Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.
Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.
Далеко не все знают, за какую область отвечает Роскомнадзор, или иначе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Роскомнадзор контролирует работу операторов любых персональных данных (сотрудников или клиентов).
Подконтрольными Роскомнадзору субъектами выступают все предприятия, большинство ИП и даже некоторые граждане, которые вне зависимости от объема, обрабатывают и собирают информацию о клиентах, сотрудниках и других гражданах.
Проверки роскомнадзора на 2021 год
Основная деятельность Роскомназдора – это защита информации. С ней в той или иной степени работает каждое предприятие – любому работодателю нужна информация о сотрудниках, контрагентах и т.д. Чтобы эти файлы не использовались во вред их владельцам, назначается ревизия Роскомнадзора.
Контроль Роскомнадзора
Инспекции бывают четырёх видов, основная из них – плановая. Они происходят строго по графику, который можно увидеть на сайте и подготовиться к ним заранее. Частота проверок – раз в 3 года, при работе с некоторыми категориями информации проверки бывают чаще – раз в 2 года. Если организация молодая, первая встреча с проверяющими состоится только через 3 (или 2) года после открытия.
Остальные виды проверок:
- внеплановая;
- документарная – высылаются документы по списку, может быть только плановой;
- выездная – сотрудники приезжают на предприятие (планово или внепланово).
Чтобы проверить организацию, должны быть веские основания. Директор должен быть осведомлён о том, что именно послужило причиной внимания контролирующих органов.
Что проверяет трудовая инспекция
Такие ревизии происходят, когда есть подозрения, что организация пользуется личной информацией людей в неблаговидных целях. Основания для неё – жалобы на спам, решение прокуратуры или неполное выполнение предписаний после предыдущей плановой проверки. О подобном мероприятии руководителя предупреждают за сутки.
Дата публикации: 09.10.2017 10:13 (архив)
Начиная с 1 января 2021 года полномочия по администрированию страховых взносов возложены на налоговые органы. Расчет по страховым взносам в 2021 году нужно представлять в налоговую инспекцию один раз в квартал — не позднее 30-го числа месяца, следующего за отчетным периодом (п. 7 ст. 431 Налогового кодекса РФ).
Исходя из положений п. 7 ст. 431 Налогового кодекса РФ расчет по страховым взносам считается непредставленным, если:
- совокупная сумма взносов на пенсионное страхование, исчисленных с выплат в рамках предельной величины базы, за каждый из последних трех месяцев отчетного (расчетного) периода в целом по организации не совпадает с начисленной суммой взносов по каждому работнику;
- указаны недостоверные персональные данные, идентифицирующие застрахованных физических лиц.
В этом случае плательщику не позднее дня, следующего за днем получения расчета в электронной форме (10 дней, следующих за днем получения расчета на бумажном носителе), направляется соответствующее уведомление.
В пятидневный срок с даты направления в электронной форме уведомления (десятидневный срок с даты направления такого уведомления на бумажном носителе) плательщик страховых взносов обязан представить расчет, в котором устранено указанное несоответствие. В таком случае датой представления указанного расчета считается дата представления расчета, признанного первоначально не представленным.
Налоговые органы Новгородской области рекомендуют до представления расчета за 3 квартал 2021 года провести сверку актуальности персональных данных сотрудников.
Для этого на официальном сайте ФНС России в сервисах «Личный кабинет налогоплательщика юридического лица» и «Личный кабинет налогоплательщика индивидуального предпринимателя» необходимо воспользоваться программой для проверки персональных данных.
В разделе «Сервисы» выбрать вкладку «Проверить данные ФЛ для заполнения расчета по страховым взносам». Направить запрос можно двумя способами: вручную или отправить сведения в формате xml.
Для направления запроса по первому способу необходимо заполнить СНИЛС, ФИО сотрудника и дату рождения. В случае заполнения вкладки ИНН, паспортные данные могут не вноситься. Заявка в данном случае направляется не более чем на 200 человек. Если сотрудников больше, формируется дополнительный запрос.
В случае применения второго метода, сведения выгружаются из бухгалтерской программы. Число сотрудников в таком файле не ограничено.
Сведения об отправке и состоянии запроса отражаются в разделе «Информация о прохождении документов, направленных в налоговый орган». Обработка запроса осуществляется в течение нескольких часов. В случае выявления недостоверных сведений, необходимо письменно обратиться в налоговый орган для устранения несоответствий.
Что проверяет Роспотребнадзор: как часто проводятся проверки
По законодательству оператором персональных данных считается любая организация, которая взаимодействует с людьми и их документами, т.е. под это определение подпадают все предприятия, где в штате больше одного человека. Проверка касается не только юридических лиц, но и ИП, в которых есть хотя бы один наёмный сотрудник, и даже физических лиц, если они работают с чужими карточкам.
В Генпрокуратуре сформировали план проверок бизнеса на 2021 год
Статья 23 федерального закона от 27.07.2006 «О персональных данных» №152-ФЗ выделяет два направления деятельности Роскомнадзора:
- защита прав субъектов персональных данных;
- контроль и надзор за соответствием обработки персональных данных требованиям законодательства.
Для выполнения этих функций указанная статья закона наделяет Роскомнадзор определенными полномочиями. Рассмотрим самые, на наш взгляд, важные из них.
Роскомнадзор:
- проверяет сведения, указанные организацией в Уведомлении;
- может требовать от оператора уничтожения недостоверных или полученных незаконным путем персональных данных;
- может ограничивать доступ к информации, обрабатываемой с нарушением законодательства;
- вправе обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять их в суде;
- наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении настоящего Федерального закона;
- обязан рассматривать жалобы и обращения по вопросам, связанным с обработкой персональных данных, а также принимать по ним решения в пределах своих полномочий.
На практике основные действия Роскомнадзора в соответствии с федеральным законом «О персональных данных» следующие:
- работа с обращениями и жалобами граждан;
- проведение контрольных и надзорных мероприятий;
- ведение Реестра операторов персональных данных.
Роскомнадзор рассматривает жалобы по закону от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации». Жалобы могут быть направлены как в письменном виде, так и через специальную форму на сайте Роскомнадзора или портала Госуслуг. Срок рассмотрения обращения — 30 календарных дней, за исключением случаев, установленных в законе.
Мероприятия по охране труда: план на предприятии
В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.
При плановой ревизии важно:
- какие именно данные обрабатывает компания;
- кто отвечает за обработку;
- где можно ознакомиться с политикой компании (в том числе на сайте);
- кому передаются данные;
- как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
- как хранятся документы, и как контролируется доступ в этих помещениях;
- насколько всё перечисленное соответствует заявленному в документах.
Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.
Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.
Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.
Важно! Если согласия нет, могут последовать наказания – штрафы, блокировка сайта, приостановка работы, отзыв лицензии.
Постановлением Правительства РФ от 13.02.2019 № 146 были утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Указанным документом регулируются вопросы проведения проверок персональных данных Роскомнадзором в части соблюдения требований к их защите со стороны операторов.
Предметом проведения проверок является выполнение требований закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Конечной целью проверочных мероприятий РКН, в соответствии с п. 3 Правил, выступает выявление и пресечение нарушений в области защиты персональных данных со стороны операторов. Также эта деятельность надзорного органа направлена на предупреждение совершения подобных правонарушений.
В связи с тем, что постановление № 146 принято не так давно, Роскомнадзор при проверках персональных данных в 2019 году был ограничен. Не все предусмотренные Правилами инструменты могли быть использованы ведомством в 2019 году, поскольку планы проведения надзорных мероприятий ведомством еще не был сформированы.