ЦЕНТР БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ

Разрабатываем документацию в соответствии с №152-ФЗ «О персональных данных»

 

Электронная почта: Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Проверка Роскомнадзора: к чему готовиться и как пройти?

Приступая к проверке компании, Роскомнадзор руководствуется Федеральным законом 152-ФЗ «О персональных данных». Проверка ведомства может быть запланированной или внеплановой.

Роскомнадзор может осуществлять проверку на соответствие обработки и защиты персональных данных требованиям Федерального закона и подзаконным нормативно-правовым актам как зарегистрированных в реестре операторов, так и не подавших заявку на внесение в перечень. Список нормативно-правовых актов, которые регулируют процедуру проверки, приведён в административном регламенте исполнения Роскомнадзором функции государственного надзора, утвержденном Приказом №312 от 14.11.2011.

Невыполнение требований законодательства в сфере персональных данных грозит штрафными санкциями и предписаниями на устранение нарушений. При этом повторные выявления нарушений наказываются повышенными штрафами. Главной проблемой для организаций является то, что формулировки закона имеют общий характер, не учитывают специфику работы конкретной организации и сложны для восприятия неопытному человеку в данной области. А без понимания выполнить качественную подготовку к проверке невозможно. Поэтому лучшим выходом будет обращение к квалифицированным специалистам.

Основные виды проверок Роскомнадзора

По Федеральному закону №294-ФЗ плановая проверка выполняется раз в 3 года. Таким образом, если ваша компания проверялась федеральной службой, и вы не допускали нарушений в дальнейшей работе – не стоит ожидать визита из Роскомнадзора. Если инспекторы наносили визит три года назад, рекомендуется подготовиться к предстоящей проверке. Важно выполнять все требования по обработке персональных данных – иначе за обнаруженные нарушения будет присужден штраф.

Плановая проверка. Федеральная служба предупреждает организацию заранее о такой проверке. За 3 дня перед процедурой на почту поступает уведомление с точной датой визита представителей Роскомнадзора. Также любая компания способна узнать о своем участии в списке тех, кого будут проверять в следующем году. Для этого требуется посетить сайт федеральной службы, где опубликован соответствующий план.

Внеплановая проверка. Такая процедура нередко осуществляется по обращениям физических лиц. Например, клиенты могут пожаловаться на постоянные телефонные звонки, рекламные сообщения или рассылку. Перед проведением внеплановой проверки компания получает уведомление за сутки перед предстоящим визитом.

Документарная проверка. При такой ситуации Роскомнадзор требует выслать копии документов в территориальный орган.

Выездная проверка. Предполагает выезд инспекторов по адресу компании. Обычно состав включает несколько человек. Представители федеральной службы проверяют, насколько ответственно компания выполняет свои обязательства в соответствии с ФЗ-152.

Любая разновидность проверки не предусматривает время, чтобы исправить все нарушения и основательно подготовиться. Поэтому компаниям необходимо соблюдать законодательство, действуя в правовых нормах.

Как проводится проверка Роскомнадзором

С порядком проведения проверок можно ознакомиться на официальном сайте Роскомнадзора и его территориальных органов в сети Интернет (п. 15 Административного регламента №312) либо обратившись непосредственно в центральный аппарат ведомства и его территориальных органов.

Прежде всего, Роскомнадзор отправляет в организацию уведомление по почте России, в котором кратко перечисляются позиции, которые планируется проверить, состав проверочной комиссии, дата и срок выездной проверки (обычно 20 рабочих дней). При плановой проверке оператор должен получить уведомление не позднее трёх рабочих дней до начала проверки. По итогам изучения документов, предоставленных оператором для проверки, контролирующий орган составляет акт проверки, предписание об устранении выявленных нарушений и протоколы об административных нарушениях в отношении оператора. На устранение нарушений даётся время, по истечении которого проводится внеплановая проверка, и в случае их повторного выявления деятельность организации приостанавливается.

На практике объём запрашиваемых документов и методика самой проверки зависят от территориального органа, осуществляющего проверку.

Как подготовиться к проверке Роскомнадзора?

Закон №152-ФЗ обязывает компании выполнять технические, правовые и организационные требования. Чтобы исключить нарушения, важно самостоятельно изучить текст закона и его подзаконные акты. Альтернативным вариантом является привлечение специалиста, способного выполнить необходимую работу. Наемный сотрудник сможет изучить главные правила обработки персональных данных и подготовить соответствующие документы. Также специалист сможет внедрить средства защиты.

Если работа такого сотрудника обходится компании слишком дорого – рекомендуется предпочесть более приемлемый вариант — обратиться в нашу компанию.

При подготовке к проверке Роскомнадзором нужно учесть следующее:

Найдите в своей компании человека, который будет контролировать соблюдение законодательства. Нередко в организациях такая роль отводится бухгалтеру или юристу. Руководитель практически никогда не занимается такой работой. В крупном бизнесе создаются целые отделы, гарантирующие защиту персональных данных.

Выберете ответственного сотрудника за обработку ПД. Скорее всего, им станет человек, занимающийся остальными вопросами персональной информации.

Подробно изучите процесс обработки ПД в компании. Например – какая информация собирается сотрудниками, в каких целях. Некоторые организации способны собирать персональные данные сотрудников для реализации трудового законодательства или заключения договоров. Также ПД собираются у соискателей на открытые вакантные должности. Вполне возможно, что компания занимается передачей данных в другое учреждение.

Основываясь на полученных сведениях, разработайте пакет документов, включающий политику вашей компании в отношении обработки ПД, положение по неавтоматизированной обработке, инструкции и т.д. Разработанную документацию нужно подтвердить.

Доведите утвержденные документы до сотрудников, имеющим отношение к персональным данным. Например, положение по неавтоматизированной обработке рекомендуется показать работникам, взаимодействующим с бумажными документами.

Главный документ – политика компании по отношению к обработке персональных данных – повесьте в общедоступном месте, чтобы желающие могли всегда ознакомиться с текстом. Рекомендуется расположить копию данного документа на информационном стенде. Если компания обладает сайтом, возможности которого позволяют собирать информацию посетителей (ФИО, телефонные номера, адреса электронной почты) – опубликуйте электронную копию документа непосредственно на ресурсе. Главное, чтобы ссылка была заметна всем пользователям.

Отправьте уведомление в Роскомнадзор об обработке ПД. Данное уведомление необходимо оформить в двух видах – печатном и электронном.

Для отправки электронного уведомления заполните форму на официальном сайте федеральной службы. После отправки документа распечатайте его на принтере и вышлете по обычной почте в территориальный орган Роскомнадзора.

Уведомление рассматривается в течение 1 месяца. После рассмотрения представители федеральной службы добавляют компанию в реестр операторов. Наличие компании в реестре обязует организацию выполнять требования закона ФЗ-152, а также косвенно подтверждает прозрачность и добропорядочность деятельности организации.

На что обращают внимание инспекторы Роскомнадзора при проверке?

Прежде всего, инспекторы просматривают минимальный набор докуменов. Первое, что устанавливают представители службы – факт подачи уведомления в Роскомнадзор. Компании, которые не отправляли заявления, привлекаются к ответственности (будет наложен штраф).

Какие персональные данные разрешается обрабатывать без уведомления Роскомнадзора:

Данные, обрабатывающиеся в согласии с трудовым законодательством;

Информация, полученная оператором после заключения договора, стороной которого является субъект персональных данных, если ПД не распространяются и не предоставляются третьим лицам без согласия субъекта;

Данные, принадлежащие участникам религиозной организации или общественного объединения. Организация должна действовать в полном соответствии с российским законодательством и заниматься достижением законных целей, предусмотренных учредительными документами. Основным условием является неразглашение ПД;

Данные, сделанные субъектом персональной информации общедоступными;

Данные, содержащие только фамилии, имена или отчества субъектов;

Данные, предназначенные для одноразового пропуска субъекта персональных данных на территорию;

Данные, входящие в информационные системы, обладающие статусом государственных информационных систем, созданные для защиты безопасности страны и соблюдения общественного порядка;

Данные, обрабатываемые без использования автоматизированных средств соответственно федеральным законам и другим нормативным актам Российской Федерации;

Данные, обрабатываемые в ситуациях, предусмотренных действующим законодательствам о транспортной безопасности, для защиты интересов личности, общества или государства.

Если уведомление направлено в Роскомнадзор, при осуществлении проверки инспекторы будут на него ориентироваться и проводить сравнение с реальными процессами обработки персональной информации в компании. Если данные не соответствуют действительности – например, изменился ответственный сотрудник за обработку ПД – организация будет оштрафована за отсутствие своевременного обращения в федеральную службу о совершенном изменении.

Также представители Роскомнадзора просматривают сайт компании. Если ресурс занимается сбором информации (телефонов, электронных адресов или имен пользователей), но не опубликована политика обработки персональной информации – компания будет с большой вероятностью оштрафована.

Выполняя проверку, инспекторы способны запросить формы документов, содержащие персональную информацию. Наглядным примером являются анкеты соискателей вакантных должностей. Данные формы необходимо подготовить заблаговременно. Представители федеральной службы могут заинтересоваться формой согласия на обработку ПД.

Также Роскомнадзор уделяет большое внимание обработке специальных категорий персональной информации. Здесь подразумевается национальная или расовая принадлежность субъекта, его политические взгляды, философские или религиозные убеждения, состояние здоровья с интимной жизнью. Такую информацию можно собирать только после получения письменного согласия человека, предоставив законные основания. Например, если информация о состоянии здоровья требуется работодателю для того, чтобы подтвердить возможность выполнения определенных трудовых обязанностей.

Что ещё нужно знать?

Если компания отправляет персональные данные другим организациям (банковским учреждениям для выплаты заработной платы), то необходимо обратить внимание на корректность составления соответствующего договора. Согласно закону ФЗ-152, договор должен содержать сведения о цели передаваемой информации, предполагаемых действиях с персональными данными и наличии обязанностей обеспечения конфиденциальности. Также договор должен обладать указанием, что компания, принимающая ПД, занимается правовыми и техническими мерами для защиты информации. Представители Роскомнадзора обязательно запросят сканированную копию договора.

В помещения (комнату), где проводится обработка ПД, должен быть контролируемый доступ. Например, посетитель банковского учреждения не может посмотреть персональные данные – они доступны только сотрудникам, занимающимся обработкой.

Необходимо предусмотреть раздельное хранение документации, содержащих персональные данные различных физических лиц. Данные работников и клиентов должны храниться в разных местах. Допускается использование запираемых шкафов или металлических сейфов. После завершения рабочего дня документы должны быть убраны. Если инспекторы заменят разбросанные документы на видных местах, компания будет предупреждена или оштрафована.

В целом, прохождение проверки Роскомнадзора не сложный процесс для компании, соблюдающей российское законодательство и придерживающейся нормативов. Если документы хранятся в соответствии с правилами, уведомления об изменениях регулярно подается в соответствующие инстанции, и принимаются меры по защите персональной информации – инспекторы не смогут найти нарушений. Поэтому проверка будет пройдена максимально быстро без возникновения затруднений.

Заказать подготовку документов для проверки Роскомнадзора

Полноценная подготовка оператора персональных данных к проверке включает в себя разработку организационно-распорядительной документации согласно ФЗ-152 и подзаконным нормативно-правовым актам, выполнение технических мер защиты персональных данных при их обработке в информационных системах в соответствии со ст. 19 ФЗ-152, внутренний контроль готовности организации к проверке, учитывая типовой план проверки Роскомнадзора, а также практику прохождения проверок в других компаниях.

Такую полноценную подготовку вам помогут провести наши специалисты. С нами вы будете уверены, что не понесёте административную ответственность в виде штрафов либо риски штрафных санкций будут минимальными и не испортите деловую репутацию своей компании. Кроме того, наши сотрудники могут оказать помощь уже в процессе прохождения проверки контролирующим органом: проконсультировать по возникающим вопросам, помочь устранить замечания.

   
 

Политика конфиденциальности Карта сайта

С целью персонализации сервисов, повышения удобства пользования веб-сайтом и проведения статистических исследований мы используем файлы «cookie». «Cookie» представляют собой небольшие файлы, содержащие информацию о настройках браузера. Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie, если вы не хотите использовать файлы «cookie», измените настройки браузера.

© 2012-2021, «Центр безопасности персональных данных».