Как пройти проверку Роскомнадзора?
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как пройти проверку Роскомнадзора?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.
Уведомление оператора персональных данных
Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:
- уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
- уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
- персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).
Что проверяет Роскомнадзор?
Предметом государственного контроля являются:
- Документы, характер информации в которых предполагает или допускает включение в них персональных данных.
- Проверка сведений, содержащихся в уведомлении об обработке ПДн:
- договоры с внешними организациями,
- проездные документы и бронирование гостиниц при организации командировок,
- добровольное медицинское страхование,
- обеспечение телефонной связью,
- заработная плата сотрудникам,
- изготовление визитных карточек.
Как проверяет Роскомнадзор?
Существуют плановые и внеплановые проверки, которые проводятся как в отношении тех организаций, которые включены в реестр Роскомнадзора, так и тех, что не включены. Плановые проверки более безобидные, так как о том, что вас проверят, оповестят заранее (не позднее чем за три дня), а по внеплановым проверкам — всего за 24 часа. Роскомнадзор в конце каждого года публикует на своем сайте план проверок на следующий календарный год и проверяет в соответствии с ним.
Для организации все начинается с уведомления, которое приходит по почте России. В нем Роскомнадзор уведомляет о намерении проверить и кратко сообщает, что именно будет проверять. Также в уведомлении сообщается состав проверочной комиссии, дата и срок выездной проверки. Срок проверки обычно составляет 20 рабочих дней, но это не значит, что все 20 дней у вас будет сидеть комиссия, а говорит лишь о дедлайне проверки. Комиссия, как правило, приезжает всего 2-3 раза: первый раз — запросить документы, второй раз — забрать документы и третий раз — выдать акт о проверке с замечаниями и предписанием на устранение нарушений. Нередко сразу выписываются протоколы об административных правонарушениях.
По факту объем запрашиваемых документов и методика самой проверки сильно варьируются в зависимости от того или иного территориального управления Роскомнадзора.
Кратко порядок проверки выглядит так:
- Уведомление оператора о проведении плановой проверки путем направления копии приказа руководителя Роскомнадзора о проверке почтой России. Уведомление должно поступить оператору не позднее трех рабочих дней до начала ее проверки (при плановой проверке), что очень мало, чтобы успеть к ней подготовиться.
- Далее в указанный в уведомлении день проверки приезжает комиссия, как правило, в составе 2-3 человек для осуществления государственного контроля.
- На месте проверки комиссия запрашивает и рассматривает документы, имеющиеся у оператора «под рукой», и выдает список документов для предоставления оператором до окончания срока проверки. Непредоставление оператором запрошенных документов расценивается как несоответствие требованию закона, и выписывается штраф, а также предписание на устранение нарушений.
- По результатам рассмотрения представленных оператором к проверке документов Роскомнадзор составляет акт проверки, предписание об устранении выявленных нарушений, а также протоколы об административных нарушениях в отношении оператора.
- По окончании срока предписания об устранении выявленных нарушений назначается повторная внеплановая проверка. В случае неустранения нарушений деятельность организации приостанавливается.
Как уведомить Роскомнадзор о сборе персональных данных
Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
- наименование компании (ФИО ИП) и ее адрес;
- цель обработки персональных данных (например, заключение трудовых договоров);
- категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
- категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
- сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
- ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
- предполагаемая дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
- сведения об обеспечении безопасности персональных данных.
Направить уведомление можно следующими способами:
- в бумажном виде,
- в электронном виде с использованием усиленной квалифицированной электронной подписи,
- в электронном виде с использованием средств аутентификации ЕСИА.
Подотчетным станет сбор персональных данных:
- в ходе трудовых отношений,
- при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
- уже упомянутых ФИО,
- даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
- для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).
Как проходит проверка Роскомнадзора по защите персональных данных
Программа предусматривает поэтапное взаимодействие:
- предприятие получает уведомление (при плановой проверке – за 3 дня, при внеплановой – за сутки), в нём указывается дата проведения и номер приказа;
- при документарной проверке (только плановой) высылается запрос и перечень документов, которые нужно представить. Руководитель высылает копии, заверенные своей подписью;
- при выездной проверке (плановой или внеплановой, может следовать за документарной, если выявлены недочёты) приезжают два инспектора, которые проверяют соответствие документов реальному положению дел;
- контролирующий орган выносит решение и даёт предписания;
- предприятие выполняет предписания.
Предмет проверки Роскомнадзора
Сферы деятельности юридических лиц и ИП, надзор в которых осуществляет Роскомнадзор, перечислены в п. 5 положения, утвержденного постановлением Правительства РФ «О Федеральной…» от 16.03.2009 № 228. В соответствии с ним Роскомнадзор проводит проверки за соблюдением законодательства в различных сферах, в частности, таких как:
- деятельность средств массовой информации, телеканалов, периодических печатных, электронных и других изданий;
- информатизация и защита информации;
- организация и работа радио и телевещания;
- связь и массовые коммуникации;
- организация и деятельность почтовых операторов;
- обработка и защита персональных данных граждан.
Виды проверок соблюдения законодательства о персональных данных
Ключевые моменты в положении о проверках, которые нужно учитывать предприятиям:
- Роскомнадзор проверяет две ключевые составляющие деятельности операторов ПД (п. 7 Положения по постановлению № 1046):
- деятельность по обработке персональных данных самого оператора и третьих лиц, которые выполняют его поручения;
- результаты деятельности оператора по разработке документов и локальных нормативов, направленных на обеспечение требований по ч. 1 ст. 18.1 Закона № 152-ФЗ.
- Предусмотрены профилактические мероприятия (п. 13 Положения), контрольно-надзорные мероприятия (п. 42 Положения).
Указанная классификация основана на перечнях профилактических и контрольно-надзорных мероприятий, приведенных, соответственно, в ст. 45 и 56 Закона № 248-ФЗ. Профилактические мероприятия — это «мягкие» варианты взаимодействия регулятора и контролируемого лица, контрольно-надзорные — более «строгие». Возможно, что по итогам профилактического мероприятия будет начато контрольно-надзорное (ч. 4 ст. 45 Закона № 248-ФЗ).
- Частота и типы профилактических и контрольно-надзорных мероприятий привязаны к категории риска, присвоенной хозяйствующему субъекту (п. 10 Положения).
Что работодатель должен и не должен знать о работнике
В Трудовом кодексе РФ нет конкретного перечня сведений, относящихся к персональным данным работника. Равно как и нет его и в Законе «О персональных данных». В этом документе есть только их Определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
Соответственно, в законодательстве отсутствует список сведений, которые работодатель вправе собирать и хранить в отношении каждого работника.
Вместе с тем в ст. 65 ТК РФ приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу. По этим документам можно понять, какие сведения о работниках компания получает, и соответственно, имеет право обрабатывать, а каких сведений в ее распоряжении оказаться не должно.
Что у компании должно быть
Итак, при приеме на работу работодатель получает персональные данные работника, а именно:
- Ф.И.О., возраст, место жительства, семейное положение (из паспорта);
- трудовой стаж и предыдущие места работы (из трудовой книжки);
- регистрация в органах ПФР (из карточки СНИЛС);
- отношение работника к воинскому учету (из документов воинского учета);
- образование и квалификация (из дипломов, аттестатов, свидетельств об образовании);
- судимость (из справки о ее наличии или отсутствии);
- употребление наркотиков (из справки, подтверждающей или опровергающей этот факт).
Фотографии работников без отдельного согласия использовать запрещено
Роскомнадзор по итогам плановой проверки выписал организации (бассейну) предписание с требованием прекратить использование на пропусках клиентов их фотографий.
Нарушение заключалось в том, что бассейн не заручился отдельными письменными согласиями пловцов на обработку их биометрических персональных данных в виде фотоизображений (ст. 11 закона № 152-ФЗ).
Организация возразила:
- посетители бассейна давали общее согласие на обработку их персданных;
- фотографии к своим пропускам люди прикрепляли добровольно;
- пока они плавали, предприятие не занималось цифровой или текстовой обработкой этих фотографий;
- закон не относит фотографическое изображение гражданина на бумажном носителе к биометрическим персональным данным, в связи с чем бассейн может использовать фото посетителей и с их устного согласия.
Судьи с этим не согласились.
В соответствии со ст. 11 закона № 152-ФЗ биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Истолковав данное Определение, суд пришел к выводу, что фотографическое изображение, содержащиеся на документе «Пропуск», является биометрическими персональными данными, поскольку характеризует физиологические и биологические особенности человека, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска.
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
В отдельных случаях Роскомнадзор проводит незапланированное инспектирование на основании приказа, подписанного уполномоченным должностным лицом. Правила, утвержденные ПП N 146 содержат полный перечень оснований для инициирования внеплановой проверки Роскомнадзора:
- выявления неисполненного или исполненного не полностью предписания, выданного по итогам планового инспектирования;
- нарушения прав граждан, перечисленных ст. 14-17 152-ФЗ, выявленные в результате анализа заявлений пострадавших, поступивших в орган по контролю и надзору;
- поручение органов власти, Президента;
- требование прокурора;
- резолюция руководства Роскомнадзора на основании изучения выводов о наличии нарушений после проведенных проверок без взаимодействия с оператором.
Важно! Уведомление Роскомнадзора о начале внеплановой проверки обработки персональных данных вручается оператору не позднее, чем за 24 часа до ее начала. В качестве уведомления направляется копия приказа любым доступным способом. В приказе указываются должностные лица, которые уполномочены проводить инспектирование. Внеплановые проверки только выездные.
Уведомление оператора персональных данных
Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:
- уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
- уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
- персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).
Стоит заметить, что и здесь есть подводные камни. Например, сейчас многие организации, особенно государственные, реализуют зарплатные проекты по перечислению кровнозаработанных рублей сотрудникам прямиком на банковские карты. Это очень удобно и для работодателей и для сотрудников, и банку тоже выгодно. Но при осуществлении такого проекта, как ни крути, приходится передавать данные своих сотрудников в банк. И такая передача персональных данных третьим лицам уже не регламентируется трудовым законодательством, а значит, первое исключение из списка выше не работает, следовательно, нужно подавать уведомление об обработке персональных данных в Роскомнадзор.
Что такое персональные данные
Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.
Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.
Важно! Если согласия нет, могут последовать наказания – штрафы, блокировка сайта, приостановка работы, отзыв лицензии.
Все должно храниться в сейфе
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Советы предпринимателям
Во время проверки:
- Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
- Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
- Не паникуйте;
- Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
- Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
- Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
- Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.
Похожие записи: