Что проверяет Роскомнадзор по персональным данным?
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что проверяет Роскомнадзор по персональным данным?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Сейчас такой срок будет составлять 6 месяцев со дня выдачи предписания об устранении нарушения. Проверяемый обязан будет уложиться в этот срок. В противном случае, ему грозит административная ответственность за невыполнение в срок законного предписания, предусмотренная ст. 19.5 Кодекса об административных нарушениях РФ.
Кроме того, Роскомнадзор теперь может потребовать от оператора приостановить обработку персональных данных, в том случае, если не будет выполнено предписание по устранению нарушений.
Что делать перед документальной проверкой
Расскажем на примере проверки Роскомнадзора.
В организацию приходит письмо от местного управления Роскомнадзора с запросом документов, как правило, из числа перечисленных выше.
В письме указывается срок, к которому они должны оказаться у регулятора. По закону на подготовку и отправку этих бумаг дается не менее трех дней, в реальности обычно предупреждают за неделю или две. Поэтому, если вы уже подготовили набор документов, то у вас останется время, чтобы все перепроверить. А вот успеть с нуля — тот еще челлендж, порой заведомо невыполнимый.
Регулятору передаются копии документов в первозданном виде без изъятий и цензуры. Их необходимо заверить печатью организации и подписью руководителя или его представителя. Электронные копии подписываются квалифицированной электронной подписью.
Роскомнадзор рассматривает полученные материалы, и при необходимости запрашивает пояснения, также в письменном виде, на бумаге или в электронной форме. Если пояснения не предоставлены за три для или недостаточно убедительны, назначается выездная проверка.
Минус документальной проверки в том, что вся коммуникация происходит на бумаге, и порой возникают ситуации, когда регулятор чего-то не находит в пакете документов или не учитывает какие-то детали даже после прочтения пояснений. В процессе выездной проверки с инспекторами проще найти общий язык.
Организация и проведение проверок
Проверки как форма контроля за соответствием работы с персональными данными требованиям закона проводятся государственными ведомствами – Роскомнадзором и ФСТЭК РФ. А в случаях, связанных с использованием средств криптографической защиты, – ФСБ РФ.
В обязанности Роскомнадзора входит проверка общих требований законодательства по защите персональных данных:
- соответствие целей работы с ПД заявленным при подаче уведомления о начале занятия деятельностью, связанной с использованием персональных данных;
- наличие политики по использованию ПД в общем доступе на сайте организации;
- сбор согласий на обработку данных;
- наличие приказов о назначении лиц, ответственных за работу с ПД;
- наличие иной организационно-распорядительной документации.
ФСТЭК проверяет наличие средств технической защиты информации, важно, чтобы это были рекомендованные и сертифицированные ведомством программные средства. Проверки могут быть плановыми и внеплановыми. Плановые проводятся не чаще чем раза в три года, и первая организовывается не ранее чем через три года после того, как организация направила в Роскомнадзор уведомление о начале деятельности, связанной с ПД. Внеплановая проверка проводится в любое время, в ситуации, не терпящей отлагательств, например, когда намеренное разглашение персональных данных привело к существенному ущербу для граждан.
Для проведения внеплановой проверки необходимо соблюдение двух условий:
- наличие сигнала о существенном нарушении закона, заявление или истечение срока действия предписания об устранении ранее допущенных нарушений законодательства;
- согласие региональной прокуратуры на назначение контрольного мероприятия.
Внеплановая проверка может проводиться только в серьезных ситуациях:
- компания не выполнила предписание, выданное по результатам плановой проверки, его или не отчиталась о результатах его выполнения;
- поступил сигнал от гражданина, компании, правоохранительного органа, СМИ, муниципальных властей о критической ситуации, связанной с тем, что причинен ущерб жизни или здоровью граждан, или существует риск такого ущерба, нарушены иные права граждан, деятельность организации не соответствует тем позициям, которые были заявлены в уведомлении.
Заявление, на основании которого проводится внеплановая проверка, обязательно должно позволять идентифицировать личность заявителя.
Если о плановой проверке компания узнает за год, из графика, размещенного на сайтах Генпрокуратуры и Роскомнадзора, то о внеплановой ее предупреждают за сутки по каналам связи, указанным в уведомлении о начале деятельности, связанной с использованием персональных данных.
Порядок проведения проверок Роскомнадзором утвержден в виде регламента, доступного на сайте ведомства. Он описывает два типа проверок:
- документарная. Она проводится в виде истребования интересующих ведомство документов, их изучение происходит в территориальном офисе ведомства;
- выездная. При проведении выездной проверки сотрудники Роскомнадзора выезжают в офис организации и изучают документы и порядок работы с персональными данными на месте.
Состав группы проверяющих всегда не менее двух сотрудников территориального органа, при необходимости они вправе пригласить эксперта или иного уполномоченного представителя. Срок каждого типа проверок ограничен 20 днями, на основании мотивированного постановления территориального подразделения ведомства он может быть продлен еще на 20 дней. Это усиление мер контроля за соответствием обработки персональных данных требованиям законодательства обычно обусловлено непредоставлением документов проверяемыми организациями или неясностями в документах.
Результатами проверки становятся:
- составление акта проверки и направление его в адрес организации;
- выдача предписания об устранении нарушений закона;
- привлечение оператора к административной ответственности;
- выдача предписания о приостановлении деятельности;
- направление мотивированного заключения в правоохранительные органы с просьбой о привлечении сотрудников оператора к уголовной ответственности.
В какие сроки и по какой форме подать уведомление
Сейчас уведомить о сборе персданных можно через форму, утвержденную приказом Роскомнадзора от 30.05.2017 № 94, в тексте приказа есть и порядок заполнения формы. Перечень сведений, которые нужно указать в уведомлении, приведен в ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.
В ведомстве предупредили, что скоро будут утверждены новые формы, но до этого оператор вправе воспользоваться текущей формой (Информация Роскомнадзора от 01.09.2022).
Составить и отправить уведомление нужно в местное отделение Роскомнадзора одним из способов:
-
на бумаге заказным письмом через Почту России;
-
в электронном виде через сайт Роскомнадзора — понадобится сертификат КЭП;
-
в электронном виде через ЕСИА.
Как уведомить Роскомнадзор о сборе персональных данных
Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
- наименование компании (ФИО ИП) и ее адрес;
- цель обработки персональных данных (например, заключение трудовых договоров);
- категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
- категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
- сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
- ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
- предполагаемая дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
- сведения об обеспечении безопасности персональных данных.
Направить уведомление можно следующими способами:
- в бумажном виде,
- в электронном виде с использованием усиленной квалифицированной электронной подписи,
- в электронном виде с использованием средств аутентификации ЕСИА.
Как проверить актуальность персональных данных сотрудников
Дата публикации: 09.10.2017 10:13 (архив)
Начиная с 1 января 2021 года полномочия по администрированию страховых взносов возложены на налоговые органы. Расчет по страховым взносам в 2021 году нужно представлять в налоговую инспекцию один раз в квартал — не позднее 30-го числа месяца, следующего за отчетным периодом (п. 7 ст. 431 Налогового кодекса РФ).
Исходя из положений п. 7 ст. 431 Налогового кодекса РФ расчет по страховым взносам считается непредставленным, если:
- совокупная сумма взносов на пенсионное страхование, исчисленных с выплат в рамках предельной величины базы, за каждый из последних трех месяцев отчетного (расчетного) периода в целом по организации не совпадает с начисленной суммой взносов по каждому работнику;
- указаны недостоверные персональные данные, идентифицирующие застрахованных физических лиц.
В этом случае плательщику не позднее дня, следующего за днем получения расчета в электронной форме (10 дней, следующих за днем получения расчета на бумажном носителе), направляется соответствующее уведомление.
В пятидневный срок с даты направления в электронной форме уведомления (десятидневный срок с даты направления такого уведомления на бумажном носителе) плательщик страховых взносов обязан представить расчет, в котором устранено указанное несоответствие. В таком случае датой представления указанного расчета считается дата представления расчета, признанного первоначально не представленным.
Налоговые органы Новгородской области рекомендуют до представления расчета за 3 квартал 2021 года провести сверку актуальности персональных данных сотрудников.
Как подготовиться к проверке персональных данных Роскомнадзором
Есть несколько рекомендаций, позволяющих подготовиться к проверке организации защиты персональных данных быстро и эффективно.
Стоит правильно распределить внимание. Электронному документообороту едва ли будет уделено много внимания инспектором – такие проверки осуществляют другие организации. Инспектору будет сложно сориентироваться сразу в том комплексе программ, которые используются на предприятии.
Больше нужно следить за бумагами, особенно, копиями паспортов. Хранение копий в доступном месте мгновенно породит у инспектора много вопросов.
На предприятии должны храниться заполненными бланки «согласия сотрудника на обработку персональных данных» (название может немного отличаться). Если таких бумаг нет, то можно предположить, что личные данные о сотрудниках были получены руководителем просто незаконно.
Инспектор может провести опрос среди персонала на предмет того, знают ли они, какие меры предпринимает фирма для защиты их персональных данных.
Естественно, если сотрудники не смогут ничего пояснить по этому поводу, при заполнении итогового акта организация получит «минус». Лучший способ избежать такой ситуации для руководителя – провести предварительный инструктаж по охране личных сведений.
Проблема нехватки времени решается если, если очному обучению предпочесть дистанционные курсы бухгалтерского учета, пройти которые получится при помощи Интернета.
Для того чтобы избежать мошенничества со стороны распадающейся или уже распавшейся фирмы, предусмотрена специальная процедура проверки организации на банкротство о которой можно узнать из этой статьи.
Отнестись к проверке Роскомнадзора нужно серьезно – многочисленные нарушения в охране персональных данных сотрудников на предприятии грозят временным прекращением деятельности и отзывом лицензии, который может стать окончательным, если ошибки в срочном режиме не будут исправлены.
Также не стоит легкомысленно относиться к штрафам за нарушения – неуплата таких сумм, пусть даже и совсем небольших, грозит административным арестом руководителя и его задержанием на 15 суток.
Как проходит проверка Роскомнадзора по защите персональных данных
Программа предусматривает поэтапное взаимодействие:
- предприятие получает уведомление (при плановой проверке – за 3 дня, при внеплановой – за сутки), в нём указывается дата проведения и номер приказа;
- при документарной проверке (только плановой) высылается запрос и перечень документов, которые нужно представить. Руководитель высылает копии, заверенные своей подписью;
- при выездной проверке (плановой или внеплановой, может следовать за документарной, если выявлены недочёты) приезжают два инспектора, которые проверяют соответствие документов реальному положению дел;
- контролирующий орган выносит решение и даёт предписания;
- предприятие выполняет предписания.
Важно! Если предписания выполнены в срок, предприятие продолжает свою деятельность без взысканий.
Проверочные листы Роскомнадзора
В целях уменьшения рисков нарушений Роскомнадзор может направлять предприятиям проверочные листы с вопросами, ответы на которые могут свидетельствовать о несоблюдении требований законодательства о персональных данных (ст. 53 Закона № 248-ФЗ. На практике такие листы могут использоваться непосредственно при проверках и, соответственно, предварительное ознакомление с перечнем вопросов, приведенных там, поможет предприятию лучше подготовиться к проверке, как и устранить нарушения. Действующая форма проверочного листа по проверкам Роскомнадзора утверждена приказом ведомства от 24.12.2021 № 253.
Положением № 1046 определена особая категория мероприятий с участием Роскомнадзора и хозяйствующих субъектов — мероприятия без взаимодействия ведомства с контролируемыми лицами. На такие мероприятия не распространяется действие Закона № 248-ФЗ (п. 6 Положения). Представлены они могут быть (п. 59 Положения):
- наблюдением за соблюдением требований при публикации сведений в интернете;
- наблюдением за соблюдением требований с помощью анализа данных о деятельности контролируемого лица, имеющихся в распоряжении Роскомнадзора.
Регламент проведения проверок обращения с персданными
Правительство РФ утвердило правила проверок организаций на предмет того, не нарушают ли они закон при обработке персональных данных своих сотрудников и клиентов-физлиц.
Объект проверки
Проверять будут юрлиц и ИП, являющихся операторами персданных.
Таким образом, контролю подвергнут работодателей, поскольку они являются операторами персданных.
Виды проверок
Ревизии могут проходить в виде:
- плановых проверок – выездных и документарных;
- внеплановых проверок – выездных;
- мероприятий без взаимодействия инспекторов с операторами.
Плановые проверки
Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.
Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.
В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.
Внеплановые проверки
Проводятся на основании:
- обращений граждан;
- по требованию прокурора;
- в случае неисполнения оператором предписания.
Уведомление компании
Роскомнадзор должен уведомить фирму:
- о проведении плановой проверки – не позднее чем за 3 рабочих дня:
- о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.
Способ уведомления – направление копии приказа о проведении проверки (либо-либо):
- заказным письмом с уведомлением о вручении;
- электронным документом с усиленной квалифицированной электронной подписью на электронную почту.
Что будут проверять
Инспекторы проверят:
- документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 закона о персданных;
- обработку персданных на предмет ее соответствия установленным требованиям;
- информационные системы персданных.
Фотографии работников без отдельного согласия использовать запрещено
Роскомнадзор по итогам плановой проверки выписал организации (бассейну) предписание с требованием прекратить использование на пропусках клиентов их фотографий.
Нарушение заключалось в том, что бассейн не заручился отдельными письменными согласиями пловцов на обработку их биометрических персональных данных в виде фотоизображений (ст. 11 закона № 152-ФЗ).
Организация возразила:
- посетители бассейна давали общее согласие на обработку их персданных;
- фотографии к своим пропускам люди прикрепляли добровольно;
- пока они плавали, предприятие не занималось цифровой или текстовой обработкой этих фотографий;
- закон не относит фотографическое изображение гражданина на бумажном носителе к биометрическим персональным данным, в связи с чем бассейн может использовать фото посетителей и с их устного согласия.
Судьи с этим не согласились.
В соответствии со ст. 11 закона № 152-ФЗ биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Истолковав данное Определение, суд пришел к выводу, что фотографическое изображение, содержащиеся на документе «Пропуск», является биометрическими персональными данными, поскольку характеризует физиологические и биологические особенности человека, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска.
Компания вправе по запросу адвоката выдать копию трудовой книжки супругу
Бывшая сотрудница подала иск к своему бывшему работодателю, потребовав признать незаконными его действия по передаче копии ее трудовой книжки адвокату ее бывшего мужа.
Адвокат использовал этот документ в качестве доказательства в процессе о взыскании алиментов.
Истица своего согласия на передачу копий трудовой книжки третьим лицам не давала.
Таким образом, компания нарушила ст. 3 закона о персональных данных и ст. 87, 88 Трудового кодекса РФ, не обеспечив сохранность ее персданных и неправомерно передав их без согласия и судебного запроса неуполномоченному лицу.
Однако суд решил, что адвокат является именно уполномоченным лицом.
Запрос был сделан на основании п. 1 ч. 3 ст. 6 Закона от 31.05.2002 № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации». Данная норма дает право собирать адвокату сведения, необходимые для оказания юрпомощи, в том числе запрашивать справки, характеристики и иные документы не только у госорганов, но и организаций. Они обязаны выдать адвокату запрошенные им документы или их заверенные копии в месячный срок со дня получения запроса адвоката.
Кроме того, в запросе адвокат указал, что сведения о трудовой деятельности ему необходимы для предъявления в суд в качестве доказательств по гражданскому делу, рассматриваемому в закрытом судебном заседании, и гарантировал соблюдение режима конфиденциальности представленных сведений.
Компания, в свою очередь, направляя копию трудовой книжки, указала в сопроводительном письме, что использовать полученные персональные данные работника он может исключительно для целей, указанных в его запросе, с соблюдением режима секретности (конфиденциальности).
Таким образом, нормы права не были нарушены.
В соответствии с п. 2 и 3 ч. 1 ст. 6 закона о персональных данных обработка персданных истца осуществлялась в целях обеспечения права на представление доказательств по гражданскому делу.
Проверка Роскомнадзора: как подготовиться и избежать штрафов
Что проверяет Роспотребнадзор: как часто проводятся проверки
По законодательству оператором персональных данных считается любая организация, которая взаимодействует с людьми и их документами, т.е. под это определение подпадают все предприятия, где в штате больше одного человека. Проверка касается не только юридических лиц, но и ИП, в которых есть хотя бы один наёмный сотрудник, и даже физических лиц, если они работают с чужими карточкам.
Важно! Если документы содержатся в порядке, то специальной подготовки к ревизии Роскомнадзора не потребуется.
Подготовку лучше начать с того, что изучить план проверок Роскомнадзора на 2021 год. Если в нём нет нужной организации, значит, в этом году можно не бояться. О плановой проверке дополнительно приходит предупреждение за 3 дня до неё, но на всякий случай лучше держать документы в порядке постоянно.
Персональная карточка
Роскомнадзор: что проверяет и на что обращает внимание
Мероприятия по охране труда: план на предприятии
В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.
При плановой ревизии важно:
- какие именно данные обрабатывает компания;
- кто отвечает за обработку;
- где можно ознакомиться с политикой компании (в том числе на сайте);
- кому передаются данные;
- как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
- как хранятся документы, и как контролируется доступ в этих помещениях;
- насколько всё перечисленное соответствует заявленному в документах.
Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Особенности подготовки к проверке
Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.
Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:
- Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
- Проверка соответствия деятельности информации, прописанной в едином реестре.
- Назначение лица, ответственного за работу с ПД.
- Составление Политики фирмы в отношении обработки ПД.
- Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
- Проверка правильности хранения документов, ограниченности доступа к ним.
- Проверка системы безопасности: наличие замков и сейфов.
Для подготовки бумаг можно использовать специальные онлайн-сервисы.
Как осуществляется проверка
Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.
Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.