Роскомнадзор проверки на 2021 год
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Роскомнадзор проверки на 2021 год». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
- Виды проверок
- Что проверяет Роскомнадзор
- Как подготовиться к проверке Роскомнадзора
- Как проходит проверка Роскомнадзора
- Советы предпринимателям
Срок хранения информации определяет человек, когда подписывает согласие на их обработку. Работодатель обязан уничтожить персональные данные, если:
- достигнуты цели;
- истек срок хранения, указанный в согласии;
- сам субъект попросил уничтожить персональные данные;
- данные обработали неправомерно, например с другими целями.
- субъект персональных данных отозвал согласие на обработку персональных данных полностью или частично.
В этих ситуациях вы должны уничтожить документы, содержащие персональные данные, а также данные из информационных систем и оформить документ, который защитит интересы компании перед Роскомнадзором, — акт. Формат акта законодательно не определен, но вы можете утвердить его ЛНА.
Создайте комиссию из тех сотрудников, которые будут фактически уничтожать персональные данные в информационных системах и на бумажных носителях.
В шпаргалке собрана полезная информация из статьи:
-
Перечень НПА для оператора персданных 630.2 КБ
-
Правила поведения за компьютером 624.3 КБ
Роскомнадзор потребовал у «Билайна» информацию об утечке данных абонентов
С 1 июля 2021 года на основании 248-го закона налоговые органы могут навестить представителей МСП, используя следующие формы проверок:
-
Контрольная закупка – позволяет оценить соблюдение требований при продаже товаров или услуг, выполнения работ. Проводится без предварительного уведомления.
-
Мониторинговая закупка – проводится для того, чтобы направить товары или результат оказания услуг на дальнейшую экспертизу. Проводится без предварительного уведомления.
-
Выборочный контроль – отбор проб (образцов) товаров в местах хранения или продаж для определения степени их безопасности. Проводится по согласованию с прокуратурой, а также в том случае, если ранее были нарушения и нужно проверить устранение.
-
Рейдовый осмотр – проверка того, как каждый из владельцев соблюдает требования по эксплуатации объекта контроля. Проводится по согласованию с прокуратурой, по требованию правительства или президента, а также при наличии угрозы для людей, окружающей среды или культурного наследия.
-
Документарная проверка – проводится без предварительного согласования, подразумевает изучение документов, относящихся к деятельности компании, ее организационно-правовой форме, а также к исполнению требований контролирующих органов.
-
Выездная проверка – позволяет оценить соблюдение действующих требований контролирующего ведомства, а также полученных предписаний. Проводится по согласованию с прокуратурой, организация получает уведомление за сутки до начала мероприятия.
-
Выездное обследование – визуальная оценка соблюдения требований (например, инспекторы могут изучить входную группу с точки зрения удобства маломобильных граждан). Проводится без предварительного уведомления.
В отдельных случаях представители налоговой службы могут навестить предпринимателя в профилактических целях: для консультирования, предостережения, информирования и пр.
Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.
В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.
Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:
- уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
- уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
- персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).
Стоит заметить, что и здесь есть подводные камни. Например, сейчас многие организации, особенно государственные, реализуют зарплатные проекты по перечислению кровнозаработанных рублей сотрудникам прямиком на банковские карты. Это очень удобно и для работодателей и для сотрудников, и банку тоже выгодно. Но при осуществлении такого проекта, как ни крути, приходится передавать данные своих сотрудников в банк. И такая передача персональных данных третьим лицам уже не регламентируется трудовым законодательством, а значит, первое исключение из списка выше не работает, следовательно, нужно подавать уведомление об обработке персональных данных в Роскомнадзор.
Итак, первым делом перед специалистом, которому поручили подготовиться к грядущей проверке встает вопрос – а какие вообще документы нужны. Специалист обращается к законодательству и… Не находит практически ничего полезного. Ну не то чтобы прям совсем ничего. Да, наверное, специалист наткнется на постановление Правительства РФ от 21.02.2012 №211 и скажет: «Вот, вы были не правы, вот, есть же список документов!». Да, есть. Только специалиста здесь ждет своего рода ловушка. Если обзавестись только документами из этого списка, организация получит предписание по итогам проверки, потому что список не перекрывает и малой части требований законодательства. Плюс в списке встречаются такие несуразности как, например, необходимость отдельно утверждать перечень ИСПДн. Зачем для этого делать отдельный документ, когда можно перечислить ИСПДн в «Положении об обработке и защите ИСПДн» или в «Политике информационной безопасности» — непонятно. Ну и наконец, постановление №211 относится только к государственным и муниципальным органам, поэтому к большинству операторов ПДн – не применимо. И, кстати, в нашем наборе документов по постановлению 211 нет, так как большинство вопросов итак учтены в других документах.
Хорошо, давайте посмотрим, что там у нас есть еще в законодательстве.
В федеральном законе «О персональных данных» напрямую говорится только о необходимости разработки «Модели угроз безопасности» (хотя «напрямую» тоже не совсем верно сказано, в законе написано, что нужно определять угрозы безопасности ПДн) и о публикации «Политики в отношении обработки персональных данных».
О процессе разработки Модели угроз мы, возможно, также подробнее напишем в одной из последующих статей.
Все остальное описано неоднозначно, примерно в таком духе:
Оператор обязан принимать меры… К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
…
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:
- Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
- Надзор над предоставлением услуг в области связи.
- Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
- Ведение информационной системы, реестров операторов связи.
- Регистрация СМИ.
- Защита информации, являющейся государственной тайной.
Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Роскомнадзор по итогам плановой проверки выписал организации (бассейну) предписание с требованием прекратить использование на пропусках клиентов их фотографий.
Нарушение заключалось в том, что бассейн не заручился отдельными письменными согласиями пловцов на обработку их биометрических персональных данных в виде фотоизображений (ст. 11 закона № 152-ФЗ).
Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.
Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:
- Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
- Проверка соответствия деятельности информации, прописанной в едином реестре.
- Назначение лица, ответственного за работу с ПД.
- Составление Политики фирмы в отношении обработки ПД.
- Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
- Проверка правильности хранения документов, ограниченности доступа к ним.
- Проверка системы безопасности: наличие замков и сейфов.
Для подготовки бумаг можно использовать специальные онлайн-сервисы.
Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.
Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.
Проверка Роскомнадзора: как подготовиться работодателю
Согласно ч. 1 ст. 14 закона № 294 обязательным условием для начала проверки является издание руководством территориального органа Роскомнадзора соответствующего приказа. Перечень требований к данному приказу обозначен в ч. 2 ст. 14 закона № 294. В приказе о проведении проверки должен быть указан исчерпывающий перечень документов, которые организации нужно представить для достижения цели проверки.
Для справки! В законодательстве нет конкретного перечня документов, которые вправе истребовать проверяющие сотрудники Роскомнадзора, или ограничений по истребованию отдельных видов документов. Поэтому в рамках проверки может быть запрошен любой документ (кроме уже имеющихся в Роскомнадзоре), но только в пределах проверяемых Роскомнадзором направлений.
В то же время порядок истребования документов установлен достаточно подробно и выглядит он следующим образом:
- согласно чч. 4 и 5 ст. 11 закона № 294 Роскомнадзор должен направить в проверяемую организацию письменный запрос и копию приказа о проведении проверки с указанием списка всех необходимых документов;
- после получения такого запроса организация должна в течение 10 дней направить заверенные ее руководителем копии указанных документов.
Важно! Копии документов можно отправить как по почте, так и в электронном виде, заверив их усиленной ЭЦП, если такая возможность есть у организации.
Подпишитесь на рассылку
Яндекс.Дзен ВКонтакте Telegram
В свою очередь, Роскомнадзору запрещается запрашивать оригиналы документов или требовать их нотариального удостоверения.
В случае если при проверке представленных документов обнаружатся противоречия между ними, Роскомнадзор может назначить выездную проверку.
В ходе выездной проверки сотрудники Роскомнадзора имеют право знакомиться с документами, получать их копии. В то же время истребовать документы, которые есть в распоряжении Роскомнадзора или иных государственных органов, согласно п. 8 ст. 15 закона № 294, проверяющие не вправе.
Государственная Дума закончила работу в весеннюю сессию. Июнь выдался для депутатов продуктивным месяцем: было принято сразу семь законов о регулировании в интернете, причем три из них, «О приземлении интернет-трафика», о рекламе в интернете и об измерении аудитории интернет-ресурсов, сразу во всех трех чтениях.
Два других закона – о едином вещателе федеральных телеканалов в интернете и о доступном интернете – были приняты в июне во втором и третьем чтениях. Еще два принятых закона расширяют основания для блокировки сайтов в интернете: Центробанк будет блокировать сайты, занимающиеся мошенничеством в финансовой сфере, а региональные прокуроры по жалобам граждан смогут блокировать сайты с информацией, порочащей их честь и достоинство.
Другой блок поправок связан с той частью Закона «О связи», в которой говорится об обязанности операторов связи передавать в неизменном виде телефонный номер вызывающего абонента (при голосовом вызове или при передаче SMS-сообщения) или идентификатор абонента, осуществляющего голосовой вызов посредством сети передачи данных. В соответствии с поправками, внесенными в закон в 2017 г., в случае нарушения таких требований оператор связи должен прекратить оказание услуг по пропуска трафика.
Согласно принятому закону, подведомственная Роскомнадзору радиочастотная служба создает систему обеспечения соблюдения операторами связи требований (СОСОТ) при оказании услуг связи и услуг по пропуску трафика в сети связи общего пользования. Операторы связи обязаны подключиться к указанной системе, направлять в нее требуемые сведения и получать необходимые сведения.
Данная система, как и упомянутая выше система мониторинга соблюдения операторами связи обязанности по проверке достоверности сведений об абонентах, будет взаимодействовать с ЕСИА (Единая система идентификации и аутентификации) и Базой данных перенесенных номеров (БДПН). Правила функционирования системы установит Правительство.
Нынешний закон указывает, что оператор связи прекращает оказание услуг по пропуску трафика, если при использовании СОСОТ установлено отсутствие информации об инициировании соединения абонентов, в том числе для отправки короткого текстового сообщения. Исключением являются случай, когда соединение инициировано из зарубежа и сопровождается нумерацией, соответствующей иностранной системы и плану нумерации.
Также основанием для прекращения предоставления услуги является инициация вызова с сети иностранного оператора (в том числе передача SMS-сообщения), сопровождаемое нумерацией, соответствующей российской систему и плану нумерации. Исключением является установление соединение российским абонентом, находящимся в роуминге зарубежом. Еще одним основанием для прекращения оказания услуги по пропуску трафика является отсутствие у оператора, инициировавшего соединение, в том числе для передачи SMS-сообщения, информации об абонентском номере или уникальном коде абонента, инициировавшего соединение.
В случае с отработанным Роскомнадзором наказанием в виде блокировки доступа в законе будет применяться иной механизм. Еще в 2012 г. в России заработал «черные список» сайтов, составляемых Роскомнадзором. Провайдеры обязаны блокировать доступ к ресурсам из этого списка.
При этом сам Роскомнадзор может принимать решения о блокировке только сайтов с детской порнографией. В остальных случаях решения принимают суды или различные ведомства по определенному перечню оснований. Список таких ведомств и оснований постоянно расширяется.
Сейчас в него входят Федеральная налоговая служба (ФНС), Министерство внутренних дел (МВД), Генпрокуратура, Росалкогольрегулирование, Роспотребнадзор, Центризбирком и другие. Решения о блокировке пиратских ресурсов принимает Мосгорсуд, а о блокировке зеркал пиратских ресурсов – Минцифры.
Сам Роскомнадзор также получил полномочия по блокировке VPN-сервисов, организаторов распространения информации (ОРИ, сайты и приложения, позволяющие общаться интернет-пользователям) и сайтов, отказывающихся локализовать персональные данные россиян в России. Но в двух последних случаях Роскомнадзор для блокировки должен обращаться в суд.
Существующий механизм блокировки интернет-сайтов не смог в полной мере решить проблему запрещенного контента в интернете. Крупные иностранные интернет-площадки – YouTube, Facebook, Twitter – не спешат блокировать все запрещенные российскими властями материалы. На блокировку же крупных площадок Роскомнадзор не решается.
В конце 2016 г. Роскомнадзор инициировал блокировку доступа к социальной сети Linkedin из-за несоблюдения требований по локализации персональных данных. Данный шаг рассматривался наблюдателями как «показательная порка», однако на более крупные площадки он не возымел действия. В 2018 г. Роскомнадзор попытался заблокировать Telegram, но данная блокировка привела к сбоям в большом количестве не связанных с Telegram ресурсов, вызвала широкое общественное недовольство и в 2020 г. была отменена.
В конце 2020 г. был принят закон, вводящий новые наказания для интернет-компаний – оборотные штрафы. После этого суды, по заявлениям Роскомнадзора, составили протоколы о штрафах на десятки миллионов рублей для Twitter, Facebook, Google, Telegram и др. Однако у многих иностранных интернет-компаний нет представительств в России, в связи с чем остается не понятным, как взимать эти штрафы.
Новый закон должен решить эти проблемы: Роскомнадзор сможет различными путями давить на иностранных интернет-гигантов, создавая проблемы для их имиджа и получения ими дохода, с целью добиться блокировки запрещенной в России информации. При этом решения о наказании ведомство будет принимать единолично.
Кроме того, как уже упоминалось, в 2019 г. в России был принят закон «О суверенном интернете». Он обязывает интернет-провайдеров устанавливать у себя технические средства противодействия угрозам (ТСПУ), с помощью которых Роскомнадзор, в случае возникновения угрозы сети, сможет вводить централизованное управление сетью. Правительство указало, что распространение запрещенной информации относится к перечню угроз, в связи с чем Роскомнадзор в любой момент может вводить централизованное управление сетью.
Первая ласточка себя уже проявила: весной 2021 г. Роскомнадзор ввел принял меры по замедлению работы Twitter, чья администрация отказывается удалять весь запрещенный в России контент. По новому закону «О приземлении интернет-ресурсов» Роскомнадзор будет осуществлять действия по замедлению или блокировки доступа к интернет-ресурсам также с помощью ТСПУ, то есть данный процесс будет непрозрачным для интернет-провайдеров.
План проверок предпринимателей на 2021 год
В апреле 2021 г. издание РБК сообщало, что в Сеть попали данные граждан, обращавшихся за оформлением займов в микрофинансовых организациях. Данные клиентов были выставлены на продажу в конце марта 2021 г. на специализированном сайте. Речь шла о 12 млн записей с номерами паспортов, телефонами и сведениями об электронных кошельках.
ТАСС в феврале 2021 г сообщал, что за январь-сентябрь 2021 г. в России утекло 96,5 млн записей персональных данных и платежной информации. Около 80% утечек персональных данных при этом происходит из-за внутренних нарушений, а не в результате хакерских атак.
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Согласно федеральному закону от 24 февраля 2021 г. № 19-ФЗ, административная ответственность по статье 13.11 предусматривает штрафы в зависимости от последствий нарушения. Так, ответственность для юридического лица предусматривает наложение штрафа в размере от 30 тыс. руб. до 6 млн руб., а при повторном нарушении — до 18 млн руб. Такой штраф компания или ИП заплатят, если повторно нарушат обязанность по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения персональных данных, собранных в интернете.
Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.
СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.
Роскомнадзор осуществляет контроль над следующими направлениями:
- Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
- Системы, осуществляющие обработку данных (ПК и программы).
- Наличие локальных нормативных актов.
- Исполнение положений этих актов.
- Сайт организации.
Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.
Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:
- Учредительная документация (ИНН, устав и прочее).
- Уведомление о том, что фирма работает с ПД.
- Перечень ПД, сбор которых осуществляется.
- Перечень работников, у которых есть доступ к данным.
- Приказ о допуске таких сотрудников к ПД.
- Инструкции для специалистов, которые работают с данными.
- Положение об ответственности сотрудников за разглашение ПД.
- Документ об обработке ПД.
- Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
- Соглашение о неразглашении ПД.
- Письменное согласие лиц на обработку.
- Журналы инструктажей относительно мер безопасности.
- Журналы учета носителей сведений.
Роскомнадзор также может затребовать и другие документы.
Плановые проверки роскомнадзора на 2021 год
Первый шаг – назначение ответственного. За обработку и безопасность персональных данных должны отвечать уполномоченные сотрудники. В зависимости от размера фирмы это может быть руководитель, бухгалтер или кадровик, который занимается этим в качестве дополнительной ответственности, либо специально нанятый для этого сотрудник или отдел.
Второй шаг – выяснение, с какими именно данными имеет дело предприятие. Ответственный за персональные данные должен знать, что именно он собирает и для чего. На основании этого руководитель составляет внутренние инструкции по работе с персональными данными и разрабатывает политику их обработки. С этими документами должны быть ознакомлены все сотрудники, для которых это важно. Последний шаг – уведомление Роскомнадзора, что предприятие работает с персональными данными людей.
Важно! Документарная проверка может быть только плановой, это основной вид инспекций для малых предприятий.
У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:
- Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
- Надзор над предоставлением услуг в области связи.
- Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
- Ведение информационной системы, реестров операторов связи.
- Регистрация СМИ.
- Защита информации, являющейся государственной тайной.
Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.
СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.
Роскомнадзор осуществляет контроль над следующими направлениями:
- Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
- Системы, осуществляющие обработку данных (ПК и программы).
- Наличие локальных нормативных актов.
- Исполнение положений этих актов.
- Сайт организации.
Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.
Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.
Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:
- Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
- Проверка соответствия деятельности информации, прописанной в едином реестре.
- Назначение лица, ответственного за работу с ПД.
- Составление Политики фирмы в отношении обработки ПД.
- Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
- Проверка правильности хранения документов, ограниченности доступа к ним.
- Проверка системы безопасности: наличие замков и сейфов.
Для подготовки бумаг можно использовать специальные онлайн-сервисы.
Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.
Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.
Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.
Посмотреть планируется ли плановая проверка в отношении Вашей организации достаточно легко. Эта информация ежегодно публикуется в едином реестре проверок Роскомнадзора и является общедоступной.
В соответствии с Постановлением Правительства №146 от 13 февраля 2019 г. «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» плановые проверки по общим правилам проводятся не чаще одного раза в 2 года со дня окончания его последней плановой проверки. О начале проведения проверки контролирующий орган должен уведомить организацию в срок не позднее, чем за три рабочих дня до начала ее проведения, направив копии приказа заказным почтовым отправлением с уведомлением о вручении, или посредством направления электронного документа, подписанного усиленной квалифицированной электронной подписью уполномоченного должностного лица.
Рекомендуем заранее проверять наличие организации в реестре проверок на будущий год и начать готовиться к мероприятию, не дожидаясь официального уведомления РКН.
Проверки роскомнадзора на 2021 год
В статье не ставится задача детального описания всей нормативной базы, которая относится или может быть отнесена к области обработки и защиты персональных данных. Рассмотрим основные нормативно-правовые акты в области обработки и защиты персональных данных, которые являются минимально необходимыми и достаточными для выполнения среднестатистической российской компанией установленных требований законодательства.
Основные требования в области обработки персональных данных содержатся в следующих нормативных документах:
- федеральных законах (основным федеральным законом является ФЗ-152 «О персональных данных»);
- постановлениях Правительства Российской Федерации;
- ведомственных документах (различных нормативных актах Роскомнадзора, ФСТЭК России и ФСБ).
На рисунке ниже представлена структура основных нормативно-правовых актов в области обработки и защиты персональных данных, которые необходимо знать перед грядущей проверкой. При этом еще раз обращаем внимание на то, что в статье не рассматриваются различные федеральные законы в сфере информационных технологий и защиты информации, указы Президента, постановления Правительства РФ для государственных и муниципальных органов, документы в области лицензирования деятельности по технической защите конфиденциальной информации и т. д.
Рисунок 1. Структура основных нормативно-правовых актов в области обработки и защиты персональных данных
Определившись с законодательством РФ в области обработки персональных данных, перейдем к рассмотрению регуляторов, которые могут выступать в роли проверяющих в области обработки персональных данных.
В соответствии с ФЗ-152 функции по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ осуществляет уполномоченный орган по защите прав субъектов персональных данных, которым является федеральный орган исполнительной власти — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Но Роскомнадзор может контролировать только вопросы, связанные с обработкой персональных данных, а именно соответствие такой обработки требованиям законодательства. Выполнение организационных и технических мер по обеспечению безопасности персональных данных контролируют органы исполнительной власти, уполномоченные в области обеспечения безопасности и в области противодействия техническим разведкам и технической защиты информации — ФСБ России и ФСТЭК России соответственно. ФСТЭК России контролирует вопросы технической защиты персональных данных, ФСБ России — вопросы защиты персональных данных в части использования средств криптографической защиты информации.
Вопросы обработки персональных данных также могут быть затронуты в рамках проверок трудовой инспекции. В этой связи отметим, что основные требования Трудового кодекса выполняются в рамках общего законодательства по персональным данным и в настоящей статье не рассматриваются.
Таким образом, есть три основных регулятора в области обработки и защиты персональных данных. Но при этом стоит отметить, что обозначенные регуляторы могут проверять не все организации. В соответствии с ФЗ-152, ФСТЭК России и ФСБ России уполномочены осуществлять контроль и надзор только при обработке персональных данных в государственных информационных системах, а также, в отдельных случаях, по решению Правительства РФ такие проверки могут осуществляться в отношении информационных систем персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных. Поэтому большая часть компаний не попадает в область интересов указанных структур. В то же время практика проверок частных компаний присутствует, в частности, со стороны ФСБ России, однако она не носит массового характера.
Таким образом, основным регулятором, который может провести проверку любой компании в области обработки персональных данных, является Роскомнадзор. Но если компанию не проверяет ФСТЭК России и ФСБ России, это еще не означает, что можно проигнорировать вопросы обеспечения безопасности персональных данных, потому что сложившаяся практика проверок показывает, что Роскомнадзор при проведении своих проверочных мероприятиях также затрагивает вопросы технической защиты персональных данных. Такая ситуация в сфере проверок в настоящее время превратилась в устоявшуюся практику.
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Подведем итоги:
- Правила проведения проверок на предмет соблюдения требований по защите персональных данных со стороны операторов утверждены в начале 2021 года.
- После утверждения плана проведения проверок с ним можно будет ознакомиться на официальном сайте Роскомнадзора и, соответственно, подготовиться к проверке.
- Внеплановая проверка может быть осуществлена по заявлению гражданина, поручению президента или правительства либо в связи с невыполнением ранее выданного предписания.
Более полную информацию по теме вы можете найти в КонсультантПлюс. Пробный бесплатный доступ к системе на 2 дня.
С 1 июля 2021 года проверки будут проходить по новому закону.
Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.
Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:
- Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
- Проверка соответствия деятельности информации, прописанной в едином реестре.
- Назначение лица, ответственного за работу с ПД.
- Составление Политики фирмы в отношении обработки ПД.
- Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
- Проверка правильности хранения документов, ограниченности доступа к ним.
- Проверка системы безопасности: наличие замков и сейфов.
Для подготовки бумаг можно использовать специальные онлайн-сервисы.
Служба вправе проводить внеплановые проверки ОПД на основании жалоб, поступивших от сотрудников, клиентов, третьих лиц в части нарушения оператором персональных требованиям действующего законодательства. На основании жалобы руководитель органа Роскомнадзора издает распоряжение о проведении внеплановой проверки организации (ИП), копия которого направляется ОПД вместе с уведомлением о предстоящем контрольном мероприятии.
В ходе проверки Роскомнадзор подтверждает либо опровергает факты правонарушений, допущение ОПД в части сбора, хранения, обработки персональных данных и отраженные в жалобе. Выявленные нарушения инспектор Роскомнадзора отражает в акте проверки, после чего выдает ОПД предписании об их устранении в установленный срок.
Процедура проверки во многом зависит от ее вида. Основные типы проверок:
- Плановые. Их график составляется заранее, еще в конце предыдущего года, и публикуется на сайте. Кроме того, проверяемого предупредят письмом или лично как минимум за три дня до начала инспекции.
- Внеплановые. Они инициируются после поступления жалоб от недовольных клиентов или даже от доноса конкурента. В зависимости от серьезности предполагаемого нарушения о проверке могут предупредить за сутки, а могут и не предупредить вовсе.
- Документарные. Проверяется пакет документов, который по запросу предоставляется в контролирующий орган.
- Выездные. Осматривается территория предприятия.
Что проверяет Роспотребнадзор: как часто проводятся проверки
По законодательству оператором персональных данных считается любая организация, которая взаимодействует с людьми и их документами, т.е. под это определение подпадают все предприятия, где в штате больше одного человека. Проверка касается не только юридических лиц, но и ИП, в которых есть хотя бы один наёмный сотрудник, и даже физических лиц, если они работают с чужими карточкам.
Важно! Если документы содержатся в порядке, то специальной подготовки к ревизии Роскомнадзора не потребуется.
Подготовку лучше начать с того, что изучить план проверок Роскомнадзора на 2021 год. Если в нём нет нужной организации, значит, в этом году можно не бояться. О плановой проверке дополнительно приходит предупреждение за 3 дня до неё, но на всякий случай лучше держать документы в порядке постоянно.
Роскомнадзор предложил абонентам «Билайна» требовать компенсации
Сотрудники учреждения должны знать, кто именно отвечает за персональные данные. Ответственный должен регулярно отчитываться руководству о том, как используется информация. Также он должен обеспечить сохранность данных – бумажные документы должны лежать в сейфах с замками, а электронные – в файлах без общего доступа.
Следует предупредить сотрудников, что во время проверок Роскомназдора по плану нужно вести себя спокойно. Излишняя нервозность, неаккуратность в документах могут навести проверяющих на мысль, что дела в организации или отделе идут не так хорошо, как хочется показать.
Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:
- уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
- уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
- персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).
Стоит заметить, что и здесь есть подводные камни. Например, сейчас многие организации, особенно государственные, реализуют зарплатные проекты по перечислению кровнозаработанных рублей сотрудникам прямиком на банковские карты. Это очень удобно и для работодателей и для сотрудников, и банку тоже выгодно. Но при осуществлении такого проекта, как ни крути, приходится передавать данные своих сотрудников в банк. И такая передача персональных данных третьим лицам уже не регламентируется трудовым законодательством, а значит, первое исключение из списка выше не работает, следовательно, нужно подавать уведомление об обработке персональных данных в Роскомнадзор.
Далее, не зависимо от того, какой результат мы получили на предыдущем этапе, нужно проверить, есть ли запись о вашей организации в реестре операторов персональных данных. Здесь легко можно найти запись в реестре по названию или ИНН организации.
Дальше ваши действия должны выглядеть примерно следующим образом.
Если организация попадает под исключения и уведомления нет — отлично, так и должно быть! Ничего не делаем.
Если организация попадает под исключения, но уведомление есть в реестре. Что ж, возможно кто-то несколько лет назад, например, по указанию уже ушедшего на пенсию руководителя, направил это уведомление. Но это можно исправить. Предусмотрена процедура по исключению организаций из реестра операторов ПДн. Для этого нужно просто написать письмо в территориальное управление Роскомнадзора с указанием номера уведомления и описанием причин, почему ваша организация не обязана находиться в реестре операторов персональных данных. Затем в том же письме просим удалить соответствующую запись из реестра. Ждем 30 дней. Проверяем. Если запись осталась в реестре, созваниваемся с Роскомнадзором и уточняем получено ли и отработано ли ваше письмо.
Если организация не попадает под исключения, но уведомления в реестре нет — срочно идем заполнять уведомление! Почему срочно? Да потому что по закону уведомление необходимо заполнять до начала обработки персональных данных, если такая обработка не попадает под все те же исключения из 22 статьи закона №152-ФЗ «О персональных данных». О том, как правильно и грамотно заполнить уведомление с нуля или прокачать уже существующее планируется одна из следующих статей.
Ну и последний вариант: организация не попадает под исключения, но уведомление в реестре есть. Хотел бы я тут написать, как и в первом случае, что ничего не нужно делать, но нет. Не зря я выше сказал, что помимо отсутствия уведомления как такового, одной из частых причин предписания по итогам проверки и выписывания штрафа по статье 13.11 КоАП РФ является несоответствие данных в уведомлении тому, что происходит на самом деле. Например, указаны не все категории обрабатываемых персональных данных или не указаны меры по обеспечению безопасности ПДн. Причин такому несоответствию может быть много, но вот две основные:
- уведомление заполнялось давно и в организации действительно с тех пор изменились многие условия обработки персональных данных;
- уведомление заполнялось для галочки без должного анализа ситуации и сбора информации.
Для таких случаев на портале персональных данных предусмотрена форма для внесения изменений в существующее уведомление.
После заполнения формы о внесении изменений (или первичного уведомления) необходимо распечатать получившийся на выходе документ, подписать, поставить печать (если есть) и отправить аналоговым письмом в территориальное управление Роскомнадзора. Только на основании бумажного письма будет внесена запись в реестр или внесены изменения в уже существующую запись.
Мероприятия по охране труда: план на предприятии
В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.
При плановой ревизии важно:
- какие именно данные обрабатывает компания;
- кто отвечает за обработку;
- где можно ознакомиться с политикой компании (в том числе на сайте);
- кому передаются данные;
- как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
- как хранятся документы, и как контролируется доступ в этих помещениях;
- насколько всё перечисленное соответствует заявленному в документах.
Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.