ЦЕНТР БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ

Разрабатываем документацию в соответствии с №152-ФЗ «О персональных данных»

 

+7 (495) 409-57-95
Электронная почта: Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Проверка Роскомнадзора: к чему нужно готовиться?

Приступая к проверке компании, Роскомнадзор руководствуется Федеральным законом 152-ФЗ «О персональных данных». Проверка ведомства может быть запланированной или внеплановой.

По Федеральному закону №294-ФЗ плановая проверка выполняется раз в 3 года. Таким образом, если ваша компания проверялась федеральной службой, и вы не допускали нарушений в дальнейшей работе – не стоит ожидать визита из Роскомнадзора. Если инспекторы наносили визит три года назад, рекомендуется подготовиться к предстоящей проверке. Важно выполнять все требования по обработке персональных данных – иначе за обнаруженные нарушения будет присужден штраф.

Основные виды проверок Роскомнадзора

Плановая проверка. Федеральная служба предупреждает организацию заранее о такой проверке. За 3 дня перед процедурой на почту поступает уведомление с точной датой визита представителей Роскомнадзора. Также любая компания способна узнать о своем участии в списке тех, кого будут проверять в следующем году. Для этого требуется посетить сайт федеральной службы, где опубликован соответствующий план.

Внеплановая проверка. Такая процедура нередко осуществляется по обращениям физических лиц. Например, клиенты могут пожаловаться на постоянные телефонные звонки, рекламные сообщения или рассылку. Перед проведением внеплановой проверки компания получает уведомление за сутки перед предстоящим визитом.

Документарная проверка. При такой ситуации Роскомнадзор требует выслать копии документов в территориальный орган.

Выездная проверка. Предполагает выезд инспекторов по адресу компании. Обычно состав включает несколько человек. Представители федеральной службы проверяют, насколько ответственно компания выполняет свои обязательства в соответствии с ФЗ-152.

Любая разновидность проверки не предусматривает время, чтобы исправить все нарушения и основательно подготовиться. Поэтому компаниям необходимо соблюдать законодательство, действуя в правовых нормах.

Как подготовиться к проверке Роскомнадзора?

Закон №152-ФЗ обязывает компании выполнять технические, правовые и организационные требования. Чтобы исключить нарушения, важно самостоятельно изучить текст закона и его подзаконные акты. Альтернативным вариантом является привлечение специалиста, способного выполнить необходимую работу. Наемный сотрудник сможет изучить главные правила обработки персональных данных и подготовить соответствующие документы. Также специалист сможет внедрить средства защиты.

Если работа такого сотрудника обходится компании слишком дорого – рекомендуется предпочесть более приемлемый вариант — обратиться в нашу компанию.

При самостоятельной подготовле к проверке Роскомнадзором нужно учесть следующее:

Найдите в своей компании человека, который будет контролировать соблюдение законодательства. Нередко в организациях такая роль отводится бухгалтеру или юристу. Руководитель практически никогда не занимается такой работой. В крупном бизнесе создаются целые отделы, гарантирующие защиту персональных данных.

Выберете ответственного сотрудника за обработку ПД. Скорее всего, им станет человек, занимающийся остальными вопросами персональной информации.

Подробно изучите процесс обработки ПД в компании. Например – какая информация собирается сотрудниками, в каких целях. Некоторые организации способны собирать персональные данные сотрудников для реализации трудового законодательства или заключения договоров. Также ПД собираются у соискателей на открытые вакантные должности. Вполне возможно, что компания занимается передачей данных в другое учреждение.

Основываясь на полученных сведениях, разработайте пакет документов, включающий политику вашей компании в отношении обработки ПД, положение по неавтоматизированной обработке, инструкции и т.д. Разработанную документацию нужно подтвердить.

Доведите утвержденные документы до сотрудников, имеющим отношение к персональным данным. Например, положение по неавтоматизированной обработке рекомендуется показать работникам, взаимодействующим с бумажными документами.

Главный документ – политика компании по отношению к обработке персональных данных – повесьте в общедоступном месте, чтобы желающие могли всегда ознакомиться с текстом. Рекомендуется расположить копию данного документа на информационном стенде. Если компания обладает сайтом, возможности которого позволяют собирать информацию посетителей (ФИО, телефонные номера, адреса электронной почты) – опубликуйте электронную копию документа непосредственно на ресурсе. Главное, чтобы ссылка была заметна всем пользователям.

Отправьте уведомление в Роскомнадзор об обработке ПД. Данное уведомление необходимо оформить в двух видах – печатном и электронном.

Для отправки электронного уведомления заполните форму на официальном сайте федеральной службы. После отправки документа распечатайте его на принтере и вышлете по обычной почте в территориальный орган Роскомнадзора.

Уведомление рассматривается в течение 1 месяца. После рассмотрения представители федеральной службы добавляют компанию в реестр операторов. Наличие компании в реестре обязует организацию выполнять требования закона ФЗ-152, а также косвенно подтверждает прозрачность и добропорядочность деятельности организации.

На что обращают внимание инспекторы Роскомнадзора при проверке?

Прежде всего, инспекторы просматривают минимальный набор докуменов. Первое, что устанавливают представители службы – факт подачи уведомления в Роскомнадзор. Компании, которые не отправляли заявления, привлекаются к ответственности (будет наложен штраф).

Какие персональные данные разрешается обрабатывать без уведомления Роскомнадзора:

Данные, обрабатывающиеся в согласии с трудовым законодательством;

Информация, полученная оператором после заключения договора, стороной которого является субъект персональных данных, если ПД не распространяются и не предоставляются третьим лицам без согласия субъекта;

Данные, принадлежащие участникам религиозной организации или общественного объединения. Организация должна действовать в полном соответствии с российским законодательством и заниматься достижением законных целей, предусмотренных учредительными документами. Основным условием является неразглашение ПД;

Данные, сделанные субъектом персональной информации общедоступными;

Данные, содержащие только фамилии, имена или отчества субъектов;

Данные, предназначенные для одноразового пропуска субъекта персональных данных на территорию;

Данные, входящие в информационные системы, обладающие статусом государственных информационных систем, созданные для защиты безопасности страны и соблюдения общественного порядка;

Данные, обрабатываемые без использования автоматизированных средств соответственно федеральным законам и другим нормативным актам Российской Федерации;

Данные, обрабатываемые в ситуациях, предусмотренных действующим законодательствам о транспортной безопасности, для защиты интересов личности, общества или государства.

Если уведомление направлено в Роскомнадзор, при осуществлении проверки инспекторы будут на него ориентироваться и проводить сравнение с реальными процессами обработки персональной информации в компании. Если данные не соответствуют действительности – например, изменился ответственный сотрудник за обработку ПД – организация будет оштрафована за отсутствие своевременного обращения в федеральную службу о совершенном изменении.

Также представители Роскомнадзора просматривают сайт компании. Если ресурс занимается сбором информации (телефонов, электронных адресов или имен пользователей), но не опубликована политика обработки персональной информации – компания будет с большой вероятностью оштрафована.

Выполняя проверку, инспекторы способны запросить формы документов, содержащие персональную информацию. Наглядным примером являются анкеты соискателей вакантных должностей. Данные формы необходимо подготовить заблаговременно. Представители федеральной службы могут заинтересоваться формой согласия на обработку ПД.

Также Роскомнадзор уделяет большое внимание обработке специальных категорий персональной информации. Здесь подразумевается национальная или расовая принадлежность субъекта, его политические взгляды, философские или религиозные убеждения, состояние здоровья с интимной жизнью. Такую информацию можно собирать только после получения письменного согласия человека, предоставив законные основания. Например, если информация о состоянии здоровья требуется работодателю для того, чтобы подтвердить возможность выполнения определенных трудовых обязанностей.

Что ещё нужно знать?

Если компания отправляет персональные данные другим организациям (банковским учреждениям для выплаты заработной платы), то необходимо обратить внимание на корректность составления соответствующего договора. Согласно закону ФЗ-152, договор должен содержать сведения о цели передаваемой информации, предполагаемых действиях с персональными данными и наличии обязанностей обеспечения конфиденциальности. Также договор должен обладать указанием, что компания, принимающая ПД, занимается правовыми и техническими мерами для защиты информации. Представители Роскомнадзора обязательно запросят сканированную копию договора.

В помещения (комнату), где проводится обработка ПД, должен быть контролируемый доступ. Например, посетитель банковского учреждения не может посмотреть персональные данные – они доступны только сотрудникам, занимающимся обработкой.

Необходимо предусмотреть раздельное хранение документации, содержащих персональные данные различных физических лиц. Данные работников и клиентов должны храниться в разных местах. Допускается использование запираемых шкафов или металлических сейфов. После завершения рабочего дня документы должны быть убраны. Если инспекторы заменят разбросанные документы на видных местах, компания будет предупреждена или оштрафована.

В целом, прохождение проверки Роскомнадзора не сложный процесс для компании, соблюдающей российское законодательство и придерживающейся нормативов. Если документы хранятся в соответствии с правилами, уведомления об изменениях регулярно подается в соответствующие инстанции, и принимаются меры по защите персональной информации – инспекторы не смогут найти нарушений. Поэтому проверка будет пройдена максимально быстро без возникновения затруднений.

   
 

Политика конфиденциальности Карта сайта

С целью персонализации сервисов, повышения удобства пользования веб-сайтом и проведения статистических исследований мы используем файлы «cookie». «Cookie» представляют собой небольшие файлы, содержащие информацию о настройках браузера. Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie, если вы не хотите использовать файлы «cookie», измените настройки браузера.

© 2012-2020, «Центр безопасности персональных данных».