Юридический справочник 2023
Юридический информационный портал

Как пройти проверку Роскомнадзора?

Льготы 10 января, 2023

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как пройти проверку Роскомнадзора?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Уведомление оператора персональных данных
2. Что проверяет Роскомнадзор?
3. Как проверяет Роскомнадзор?
4. Как уведомить Роскомнадзор о сборе персональных данных
5. Как проходит проверка Роскомнадзора по защите персональных данных
6. Предмет проверки Роскомнадзора
7. Виды проверок соблюдения законодательства о персональных данных
8. Что работодатель должен и не должен знать о работнике
9. Фотографии работников без отдельного согласия использовать запрещено
10. Разновидности проверок
11. Уведомление оператора персональных данных
12. Что такое персональные данные
13. Разновидности проверок
14. Советы предпринимателям

Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.

Уведомление оператора персональных данных

Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:

  • уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
  • уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
  • персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

Что проверяет Роскомнадзор?

Предметом государственного контроля являются:

  1. Документы, характер информации в которых предполагает или допускает включение в них персональных данных.
  2. Проверка сведений, содержащихся в уведомлении об обработке ПДн:
    • договоры с внешними организациями,
    • проездные документы и бронирование гостиниц при организации командировок,
    • добровольное медицинское страхование,
    • обеспечение телефонной связью,
    • заработная плата сотрудникам,
    • изготовление визитных карточек.

    Как проверяет Роскомнадзор?

    Существуют плановые и внеплановые проверки, которые проводятся как в отношении тех организаций, которые включены в реестр Роскомнадзора, так и тех, что не включены. Плановые проверки более безобидные, так как о том, что вас проверят, оповестят заранее (не позднее чем за три дня), а по внеплановым проверкам — всего за 24 часа. Роскомнадзор в конце каждого года публикует на своем сайте план проверок на следующий календарный год и проверяет в соответствии с ним.

    Для организации все начинается с уведомления, которое приходит по почте России. В нем Роскомнадзор уведомляет о намерении проверить и кратко сообщает, что именно будет проверять. Также в уведомлении сообщается состав проверочной комиссии, дата и срок выездной проверки. Срок проверки обычно составляет 20 рабочих дней, но это не значит, что все 20 дней у вас будет сидеть комиссия, а говорит лишь о дедлайне проверки. Комиссия, как правило, приезжает всего 2-3 раза: первый раз — запросить документы, второй раз — забрать документы и третий раз — выдать акт о проверке с замечаниями и предписанием на устранение нарушений. Нередко сразу выписываются протоколы об административных правонарушениях.

    По факту объем запрашиваемых документов и методика самой проверки сильно варьируются в зависимости от того или иного территориального управления Роскомнадзора.

    Кратко порядок проверки выглядит так:

    1. Уведомление оператора о проведении плановой проверки путем направления копии приказа руководителя Роскомнадзора о проверке почтой России. Уведомление должно поступить оператору не позднее трех рабочих дней до начала ее проверки (при плановой проверке), что очень мало, чтобы успеть к ней подготовиться.
    2. Далее в указанный в уведомлении день проверки приезжает комиссия, как правило, в составе 2-3 человек для осуществления государственного контроля.
    3. На месте проверки комиссия запрашивает и рассматривает документы, имеющиеся у оператора «под рукой», и выдает список документов для предоставления оператором до окончания срока проверки. Непредоставление оператором запрошенных документов расценивается как несоответствие требованию закона, и выписывается штраф, а также предписание на устранение нарушений.
    4. По результатам рассмотрения представленных оператором к проверке документов Роскомнадзор составляет акт проверки, предписание об устранении выявленных нарушений, а также протоколы об административных нарушениях в отношении оператора.
    5. По окончании срока предписания об устранении выявленных нарушений назначается повторная внеплановая проверка. В случае неустранения нарушений деятельность организации приостанавливается.

    Как уведомить Роскомнадзор о сборе персональных данных

    Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

    • наименование компании (ФИО ИП) и ее адрес;
    • цель обработки персональных данных (например, заключение трудовых договоров);
    • категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
    • категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
    • правовое основание обработки персональных данных;
    • перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
    • сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
    • ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
    • предполагаемая дата начала обработки персональных данных;
    • срок или условие прекращения обработки персональных данных;
    • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
    • сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
    • сведения об обеспечении безопасности персональных данных.

    Направить уведомление можно следующими способами:

    • в бумажном виде,
    • в электронном виде с использованием усиленной квалифицированной электронной подписи,
    • в электронном виде с использованием средств аутентификации ЕСИА.

    Подотчетным станет сбор персональных данных:

    • в ходе трудовых отношений,
    • при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
    • уже упомянутых ФИО,
    • даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
    • для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

    Как проходит проверка Роскомнадзора по защите персональных данных

    Программа предусматривает поэтапное взаимодействие:

    • предприятие получает уведомление (при плановой проверке – за 3 дня, при внеплановой – за сутки), в нём указывается дата проведения и номер приказа;
    • при документарной проверке (только плановой) высылается запрос и перечень документов, которые нужно представить. Руководитель высылает копии, заверенные своей подписью;
    • при выездной проверке (плановой или внеплановой, может следовать за документарной, если выявлены недочёты) приезжают два инспектора, которые проверяют соответствие документов реальному положению дел;
    • контролирующий орган выносит решение и даёт предписания;
    • предприятие выполняет предписания.

    Предмет проверки Роскомнадзора

    Сферы деятельности юридических лиц и ИП, надзор в которых осуществляет Роскомнадзор, перечислены в п. 5 положения, утвержденного постановлением Правительства РФ «О Федеральной…» от 16.03.2009 № 228. В соответствии с ним Роскомнадзор проводит проверки за соблюдением законодательства в различных сферах, в частности, таких как:

    • деятельность средств массовой информации, телеканалов, периодических печатных, электронных и других изданий;
    • информатизация и защита информации;
    • организация и работа радио и телевещания;
    • связь и массовые коммуникации;
    • организация и деятельность почтовых операторов;
    • обработка и защита персональных данных граждан.

    Виды проверок соблюдения законодательства о персональных данных

    Ключевые моменты в положении о проверках, которые нужно учитывать предприятиям:

    1. Роскомнадзор проверяет две ключевые составляющие деятельности операторов ПД (п. 7 Положения по постановлению № 1046):
    • деятельность по обработке персональных данных самого оператора и третьих лиц, которые выполняют его поручения;
    • результаты деятельности оператора по разработке документов и локальных нормативов, направленных на обеспечение требований по ч. 1 ст. 18.1 Закона № 152-ФЗ.
    1. Предусмотрены профилактические мероприятия (п. 13 Положения), контрольно-надзорные мероприятия (п. 42 Положения).

    Указанная классификация основана на перечнях профилактических и контрольно-надзорных мероприятий, приведенных, соответственно, в ст. 45 и 56 Закона № 248-ФЗ. Профилактические мероприятия — это «мягкие» варианты взаимодействия регулятора и контролируемого лица, контрольно-надзорные — более «строгие». Возможно, что по итогам профилактического мероприятия будет начато контрольно-надзорное (ч. 4 ст. 45 Закона № 248-ФЗ).

    1. Частота и типы профилактических и контрольно-надзорных мероприятий привязаны к категории риска, присвоенной хозяйствующему субъекту (п. 10 Положения).

    Что работодатель должен и не должен знать о работнике

    В Трудовом кодексе РФ нет конкретного перечня сведений, относящихся к персональным данным работника. Равно как и нет его и в Законе «О персональных данных». В этом документе есть только их Определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

    Соответственно, в законодательстве отсутствует список сведений, которые работодатель вправе собирать и хранить в отношении каждого работника.

    Вместе с тем в ст. 65 ТК РФ приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу. По этим документам можно понять, какие сведения о работниках компания получает, и соответственно, имеет право обрабатывать, а каких сведений в ее распоряжении оказаться не должно.

    Что у компании должно быть

    Итак, при приеме на работу работодатель получает персональные данные работника, а именно:

    • Ф.И.О., возраст, место жительства, семейное положение (из паспорта);
    • трудовой стаж и предыдущие места работы (из трудовой книжки);
    • регистрация в органах ПФР (из карточки СНИЛС);
    • отношение работника к воинскому учету (из документов воинского учета);
    • образование и квалификация (из дипломов, аттестатов, свидетельств об образовании);
    • судимость (из справки о ее наличии или отсутствии);
    • употребление наркотиков (из справки, подтверждающей или опровергающей этот факт).

    Фотографии работников без отдельного согласия использовать запрещено

    Роскомнадзор по итогам плановой проверки выписал организации (бассейну) предписание с требованием прекратить использование на пропусках клиентов их фотографий.

    Нарушение заключалось в том, что бассейн не заручился отдельными письменными согласиями пловцов на обработку их биометрических персональных данных в виде фотоизображений (ст. 11 закона № 152-ФЗ).

    Организация возразила:

    1. посетители бассейна давали общее согласие на обработку их персданных;
    2. фотографии к своим пропускам люди прикрепляли добровольно;
    3. пока они плавали, предприятие не занималось цифровой или текстовой обработкой этих фотографий;
    4. закон не относит фотографическое изображение гражданина на бумажном носителе к биометрическим персональным данным, в связи с чем бассейн может использовать фото посетителей и с их устного согласия.

    Судьи с этим не согласились.

    В соответствии со ст. 11 закона № 152-ФЗ биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

    Истолковав данное Определение, суд пришел к выводу, что фотографическое изображение, содержащиеся на документе «Пропуск», является биометрическими персональными данными, поскольку характеризует физиологические и биологические особенности человека, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска.

    Разновидности проверок

    Роскомнадзор осуществляет следующие формы проверок:

    • Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
    • Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
    • Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
    • Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.

    Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

    В отдельных случаях Роскомнадзор проводит незапланированное инспектирование на основании приказа, подписанного уполномоченным должностным лицом. Правила, утвержденные ПП N 146 содержат полный перечень оснований для инициирования внеплановой проверки Роскомнадзора:

    • выявления неисполненного или исполненного не полностью предписания, выданного по итогам планового инспектирования;
    • нарушения прав граждан, перечисленных ст. 14-17 152-ФЗ, выявленные в результате анализа заявлений пострадавших, поступивших в орган по контролю и надзору;
    • поручение органов власти, Президента;
    • требование прокурора;
    • резолюция руководства Роскомнадзора на основании изучения выводов о наличии нарушений после проведенных проверок без взаимодействия с оператором.
    Важно!

    Уведомление Роскомнадзора о начале внеплановой проверки обработки персональных данных вручается оператору не позднее, чем за 24 часа до ее начала. В качестве уведомления направляется копия приказа любым доступным способом. В приказе указываются должностные лица, которые уполномочены проводить инспектирование. Внеплановые проверки только выездные.

    Уведомление оператора персональных данных

    Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:

    • уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
    • уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
    • персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

    Стоит заметить, что и здесь есть подводные камни. Например, сейчас многие организации, особенно государственные, реализуют зарплатные проекты по перечислению кровнозаработанных рублей сотрудникам прямиком на банковские карты. Это очень удобно и для работодателей и для сотрудников, и банку тоже выгодно. Но при осуществлении такого проекта, как ни крути, приходится передавать данные своих сотрудников в банк. И такая передача персональных данных третьим лицам уже не регламентируется трудовым законодательством, а значит, первое исключение из списка выше не работает, следовательно, нужно подавать уведомление об обработке персональных данных в Роскомнадзор.

    Что такое персональные данные

    Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.

    Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.

    Важно! Если согласия нет, могут последовать наказания – штрафы, блокировка сайта, приостановка работы, отзыв лицензии.

    Все должно храниться в сейфе

    Разновидности проверок

    Роскомнадзор осуществляет следующие формы проверок:

    • Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
    • Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
    • Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
    • Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.

    Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

    Советы предпринимателям

    Во время проверки:

    1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
    2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
    3. Не паникуйте;
    4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
    5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
    6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
    7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.


    Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *