Проверка роскомнадзора по защите персональных данных что проверяют

Статья на тему: "Проверка роскомнадзора по защите персональных данных что проверяют" с разъяснениями профессионалов. Мы постарались собрать весь тематический материал, обработать и разместить в удобном для чтения виде. На все вопросы вам ответит наш дежурный консультант.

Как проводится проверка Роскомнадзора

Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.

Полномочия Роскомнадзора

У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:

  1. Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
  2. Надзор над предоставлением услуг в области связи.
  3. Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
  4. Ведение информационной системы, реестров операторов связи.
  5. Регистрация СМИ.
  6. Защита информации, являющейся государственной тайной.

Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.

Разновидности проверок

Роскомнадзор осуществляет следующие формы проверок:

  • Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
  • Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
  • Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
  • Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.

Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

Что именно будут проверять

Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

Роскомнадзор осуществляет контроль над следующими направлениями:

  • Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
  • Системы, осуществляющие обработку данных (ПК и программы).
  • Наличие локальных нормативных актов.
  • Исполнение положений этих актов.
  • Сайт организации.

Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.

Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:

  • Учредительная документация (ИНН, устав и прочее).
  • Уведомление о том, что фирма работает с ПД.
  • Перечень ПД, сбор которых осуществляется.
  • Перечень работников, у которых есть доступ к данным.
  • Приказ о допуске таких сотрудников к ПД.
  • Инструкции для специалистов, которые работают с данными.
  • Положение об ответственности сотрудников за разглашение ПД.
  • Документ об обработке ПД.
  • Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
  • Соглашение о неразглашении ПД.
  • Письменное согласие лиц на обработку.
  • Журналы инструктажей относительно мер безопасности.
  • Журналы учета носителей сведений.

Роскомнадзор также может затребовать и другие документы.

Продолжительность проверки

Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.

Особенности подготовки к проверке

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

  1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
  2. Проверка соответствия деятельности информации, прописанной в едином реестре.
  3. Назначение лица, ответственного за работу с ПД.
  4. Составление Политики фирмы в отношении обработки ПД.
  5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
  6. Проверка правильности хранения документов, ограниченности доступа к ним.
  7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Как осуществляется проверка

Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.

Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.

Результаты проверки

В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.

Можно ли обжаловать результаты проверки?

Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.

Проверка Роскомнадзора по защите персональных данных: что проверяют

Что надо знать о проверках персональных данных Роскомнадзором

Собираете данные сотрудников или клиентов? Проверьте, не грозит ли вам проверка и не наработали ли вы на штраф Роскомнадзора.

  • Главная
  • Статьи
  • Что надо знать о проверках персональных данных Роскомнадзором

Что такое персональные данные

Закон от 27.07.2006 № 152-ФЗ «О персональных данных» относит к ним любую личную информацию о физическом лице. Но конкретных указаний, какие сведения нужно считать личными, он не дает.

Роскомнадзор в Методических рекомендациях, утвержденных приказом от 30.05.2017 №94 разъясняет, что к персональным данным относятся в частности:

паспортные данные: ФИО, дата и место рождения, адрес регистрации;

социальное и семейное положение;

имущество и размер дохода;

образование и профессия;

[3]

национальность, религия, политические взгляды;

биометрические данные, которые позволяют установить личность.

Но список не ограничен информацией в приказе №94. К личным данным относят и другие сведения, позволяющие идентифицировать человека. Например, номер телефона, если он принадлежит конкретному физическому лицу, заключившему договор с оператором связи.

Адрес электронной почты можно отнести к персональным данным, только если он включает в себя личную информацию, например: ФИО или дату рождения — например, адрес вида [email protected]

Все юридические и физические лица, которые собирают и обрабатывают личную информацию, называются операторами персональных данных. Их деятельность в этой области контролирует Роскомнадзор.

Как Роскомнадзор проверяет работу с персональными данными

Роскомнадзор проводит три вида проверок.

Плановые проверки. Их график специалисты Роскомнадзора составляют до начала года. Скачайте его и можете заранее узнать, в каком месяце к вам придут контролеры — подготовитесь к проверке. Если вы не знали или забыли о такой возможности, проверяющие предупредят о визите за три дня.

В общем случае плановую проверку могут проводить не чаще, чем раз в три года. Для отдельных категорий операторов период сокращается до двух лет (пп. 6 и 7 правил, утвержденных постановлением Правительства РФ от 13.02.2019 №146). Более короткие промежутки между плановыми проверками предусмотрены, например, для тех, кто собирает биометрические данные или передает персональную информацию за границу.

Внеплановые проверки. Их в графике нет. Такие проверки обычно назначают по жалобам сотрудников, клиентов и других лиц, которые считают, что их права нарушили. Также проверку вне графика могут провести по требованию прокурора или по решению руководителя территориального органа Роскомнадзора. В этом случае вы узнаете о проверке лишь накануне — за 24 часа до ее начала.

Здесь важно помнить, что общие ограничения по частоте проверок не распространяются на контроль в области персональных данных (пп. 20 п. 3.1 ст. 1 закона от 26.12.2008 № 294-ФЗ). Проще говоря, это означает, что внеплановых проверок Роскомнадзора может быть сколько угодно, и они никак не зависят от плановых. Теоретически контролеры могут прийти к вам с новой внеочередной проверкой на следующий день после завершения обычной.

Документарные

Эти проверки проходят без выхода на предприятие. Специалисты Роскомнадзора присылают письмо, в котором просят предоставить документы или дать пояснения по направленной ранее информации. Чтобы избежать наказания, в этом случае важно соблюсти установленный срок для ответа (пять рабочих дней). Документарные проверки могут быть только плановыми.

Текущий контроль

Если документарные проверки проводят без выхода на предприятие, то текущий контроль проводят вообще без какого-либо взаимодействия с проверяемой компанией.

Специалисты Роскомнадзора анализируют имеющуюся у них информацию о бизнесе, а также изучают сайт компании и другие сведения, размещенные в открытом доступе: например, рекламу в СМИ.

В этом случае вы узнаете о проверке, только если у вас найдут нарушения. Тогда Роскомнадзор пришлет требование об устранении недостатков, а если его не выполнить — наложит штраф.

Проверьте себя: самые частые нарушения, которые выявляет Роскомнадзор

Компания не направила в Роскомнадзор уведомление об обработке персональных данных.

Одно из самых распространенных нарушений, которые выявляют контролеры. Статья 22 закона № 152-ФЗ содержит перечень случаев, когда оператор может не уведомлять контролеров о работе с личной информацией. Например, к таким исключениям относится обработка персональных данных, связанных только с трудовыми отношениями. Поэтому некоторые бизнесмены считают, что могут не уведомлять Роскомнадзор, если работают только с кадровыми данными.

Но при проверке контролеры часто приходят к выводу, что работа с личной информацией выходит за рамки трудовых отношений. Например, компания обрабатывает персональные данные не только действующих сотрудников, но и кандидатов на вакансии.

[2]

Поэтому лучше подстраховаться и в любом случае уведомить Роскомнадзор. Для этого используйте форму на сайте ведомства. Информацию также следует продублировать в бумажном виде.

Что проверяет Роскомнадзор при плановой проверке

Постановлением Правительства №146 от 13.02.2019 года утвержден порядок проведения Роскомнадзором проверок по защите персональных данных. Роскомнадзор проверяет организации, предпринимателей, физлиц, которые осуществляют сбор, обработку и хранение персональных данных сотрудников, клиентов, третьих лиц. В статье разберем, что проверяет Роскомнадзор при плановой проверке, а также выясним, на что необходимо обратить внимание организации перед плановым визитом инспекторов.

Кого проверяет Роскомнадзор

В соответствие с Положением о Роскомнадзоре (постановление Правительства №228 от 16.03.2009 года), Служба осуществляет контроль и надзор деятельности операторов персональных данных в части выполнения ними требований действующего законодательства.

Оператор персональных данных (ОПД) – любая организация, ИП, физлицо, федеральных или муниципальный орган власти, который каким-либо образом взаимодействует с личной (персональной) информацией третьих лиц.

В состав персональной информации включаются:

  • паспортные данные;
  • ИНН;
  • место проживания;
  • информация о составе семьи;
  • данные о фактическом местонахождении;
  • банковские реквизиты;
  • личная информация из автобиографии.

Таким образом, Роскомнадзор вправе проверить:

  • любого работодателя, который консолидирует личную информацию о сотрудниках;
  • компанию сферы ИТ, которая занимается обработкой персональных данных пользователя;
  • фирму, которая собирает заявки от клиентов путем анкетирования (в том числе через интернет-сайт или электронную почту).

[1]

Порядком предусмотрено проведение Роскомнадзором как плановых, так и внеплановых проверок. Плановые проверки осуществляются согласно утвержденному графику. Внеплановые проверки могут проводится на основании жалоб, поступивших в Роскомнадзор в части нарушения ОПД требований действующего законодательства.

Когда Роскомнадзор проводит плановые проверки

Плановым проверкам подлежат все ОПД, которые взаимодействуют с персональной информацией третьих лиц. Периодичность проведения плановых проверок в общем порядке – не более 1-го раза в 3 года.

При этом для определенных категорий ОПД предусмотрены плановые проверки частотой 1 раз в 2 год. Речь идет о:

  • государственных операторах информационных систем;
  • операторах биометрических данных граждан;
  • ОПД, которые передают персональную информацию о третьих лицах за границу.

Для того чтобы узнать, включено ли предприятие в график плановых проверок в 2019 году, достаточно ознакомиться с информацией на сайте Службы https://rkn.gov.ru/plan-and-reports/.

Внеплановые проверки Роскомнадзора

Служба вправе проводить внеплановые проверки ОПД на основании жалоб, поступивших от сотрудников, клиентов, третьих лиц в части нарушения оператором персональных требованиям действующего законодательства. На основании жалобы руководитель органа Роскомнадзора издает распоряжение о проведении внеплановой проверки организации (ИП), копия которого направляется ОПД вместе с уведомлением о предстоящем контрольном мероприятии.

В ходе проверки Роскомнадзор подтверждает либо опровергает факты правонарушений, допущение ОПД в части сбора, хранения, обработки персональных данных и отраженные в жалобе. Выявленные нарушения инспектор Роскомнадзора отражает в акте проверки, после чего выдает ОПД предписании об их устранении в установленный срок.

★ Книга-бестселлер «Бухучет с нуля» для чайников (пойми как вести бухгалтерский учет за 72 часа) куплено > 8000 книг

Что проверяет Роскомнадзор при плановой проверке

Перечень мероприятий, проводимых инспектором Роскомнадзора в ходе проверки, устанавливается индивидуально к каждому предприятию (ИП) и отражается в распоряжении, которое направляется в адрес ОПД перед визитом представителей Службы.

В общем порядке проверке подлежат:

  • документы, в которых содержатся персональные данные сотрудников, клиентов, третьих лиц;
  • электронные носители (программы ПК, базы данных), на которых хранятся индивидуальные сведения о сотрудниках;
  • интернет-сайт, портал, через который осуществляется сбор персональной информации (например, анкетирование, прием заявок).

Согласно Порядку проведения проверок, в ходе контрольных мероприятий Роскомнадзор проверяет ОПД в части выполнения ним законодательства по защите персональных данных. Что конкретно может заинтересовать инспекторов при плановой проверке – в таблице ниже:

Объект плановой проверки Роскомнадзора 1 При постановке на учет предприятие обязано уведомить Роскомнадзор о согласии на обработку персональных данных. Уведомление оформляется на бумажном носителе. В ходе проверки Роскомнадзор проверяет наличие документа с соответствующей отметкой Службы.
Условия хранения документов на бумажном носителе 3 Если предприятие хранит (обрабатывает) персональные данные на электронных носителях, то в ходе проверки инспекторы Роскомнадзора контролируют безопасность и конфиденциальность электронных сведений.
Согласие сотрудников (клиентов, третьих лиц) на передачу личной информации Подготовка к плановой проверке Роскомнадзора

Обнаружив свою организацию в графике плановых проверок Роскомнадзора, тщательно подготовьтесь к предстоящему визиту инспекторов Службы. На что стоит обратить особое внимание при подготовке – в инструкции ниже.

Шаг #1. Подготовьте документы

Видео (кликните для воспроизведения).

Первое, что потребуют инспекторы Роскомнадзора при проверке – документы, в которых содержатся персональные сведения сотрудников (клиентов, третьих лиц), а также внутренние нормативные акты, которые регламентируют работу с индивидуальными данными. В связи с этим перед визитом инспекторов проверьте наличие и корректность оформления следующих документов:

  • учредительные документы предприятия;
  • уведомление о работе с персональными данными;
  • выписка из реестра ОПД;
  • локальный нормативный акт, регламентирующий работу с персональными данными;
  • положение о коммерческой тайне, котором указан перечень информации, относящейся к коммерческой тайне, а также ответственность сотрудников за ее разглашение;
  • документы о защите персональных данных и информационной безопасности;
  • перечень сотрудников, которые имеют доступ к персональной информации других работников (клиентов, третьих лиц), их должностные инструкции;
  • документы (анкеты, заявления, уведомления) о согласии работников (клиентов, третьих лиц) на сбор и обработку ОПД персональных данных.

Шаг #2. Проведите внутреннюю инспекцию

Перед визитом инспекторов проведите самостоятельную внутреннюю ревизию предприятия, а именно:

  • проверьте условия хранения документов с персональными данными (наличие сейфов, изолированных помещений с ограниченным доступом);
  • проконтролируйте соблюдение установленных требований сотрудниками, которые, согласно должностным инструкциям, работают с персональными данными;
  • с помощью ответственного сотрудника ИТ-службы проанализируйте безопасность хранения персональных данных в электронных базах, а также корректность их сбора на сайте либо через электронную почту.

Уделите внимание прочим аспектам работы с персональной информацией, имеющим место в Вашей компании. К примеру, если фирма анкетирует клиентов через интернет-сайт, то на портале должно содержаться уведомление о согласии клиентов на обработку полученных данных.

Шаг #3. Подготовьте сотрудников

Регламент проведения плановых проверок позволяет инспекторам Роскомнадзора проводить беседы с сотрудниками (как ответственными, так и рядовыми) и задавать им вопросы, касающиеся соблюдения предприятием требований законодательства в части защиты персональных данных.

На практике инспектор может задать сотруднику провокационный вопрос, ответ на которых предполагает разглашение коммерческой тайны либо персональной информации третьих лиц. Для того чтобы подобные беседы не привели к нарушениям и взысканиям, подготовьте сотрудников к визиту Роскомнадзора, а именно:

  • ознакомьте сотрудников со всеми документами, необходимыми при работе с персональными данными;
  • предложите работникам тактику «глухой защиты» – отказ от каких-либо ответов и комментариев без присутствия непосредственного руководителя;
  • сообщите сотрудникам об их праве не отвечать на устные вопросы инспекторов и требовать запросы исключительно в письменном виде.

В ходе проверки и при переговорах с инспектора не паникуйте, сохраняйте спокойствие и будьте уверены в своей правоте. Кроме того, помните о своем праве оспорить результаты проверки в течение 30 дней с момента составления заключительного акта инспекции.

Чек-лист. Какие документы по персональным данным должны быть у юридического лица для успешного прохождения проверки Роскомнадзора? — DocShell 4.0

  • 20.06.2019
  • | Обработка ПДн
  • | 1 017

В последнее время скандалы, связанные с утечкой персональных данных, приобрели невиданный прежде масштаб. Подобные инциденты происходят все чаще. Финансовый и репутационный ущерб от их реализации становится все более ощутимым для компаний, а практика показывает, что даже у корпоративных гигантов отсутствует 100% уверенность в защищенности своей конфиденциальной информации.

Тем не менее, угроза эта касается не только крупных коммерческих организаций. Оператором персональных данных согласно российскому законодательству является любое юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных.

При этом исчерпывающего списка, что же является персональными данным, нет, но мы можем выделить самые важные из них:

адрес места регистрации и/или проживания;

номер банковской карты и/или лицевого счета.

Исходя из списка выше, можно понять, что в качестве оператора персональных данных может выступать любая организация, которая обрабатывает данные своих сотрудников. Следовательно, под проверку Роскомнадзора может попасть каждая организация.

Что первым проверит Роскомнадзор?

Роскомнадзор, конечно, не будет следить круглосуточно за вашей организацией. Первое, на что обратит внимание регулятор во время проверки, — наличие и актуальность документов, регламентирующих порядок сбора, хранения, обработки и уничтожения персональных данных граждан. Эта организационно-распорядительная документация является фундаментом успешной и эффективной системы защиты информации, и потому очень важна. ОРД определяет ответственных лиц, их обязанности, порядок работы с данными, уровень доступа, алгоритмы реагирования в случае возникновения инцидентов и другие важные нюансы.

Весь перечень документации, регламентирующей деятельность оператора ПДн, содержится более чем в 30 нормативно-правовых актах. Чтобы разобраться в них и выделить главное – понадобится большое количество времени. Для вашего удобства мы собрали весь список, требуемых законодательством документов по персональным данным, в единый чек-лист. Данный список поможет вам определить уровень готовности вашего пакета ОРД к проверкам регулятора.

Чек-лист готовности пакета документов к проверке Роскомнадзора для юридических лиц и индивидуальных предпринимателей.

    1. Акт установления уровня защищенности информационных систем персональных данных.
    2. Акт классификации государственной информационной системы или муниципальной информационной системы.
    3. Журнал регистрации письменных запросов граждан на доступ к своим персональным данным.
    4. Журнал регистрации обращений граждан для получения доступа к своим персональным данным.
    5. Журнал регистрации инцидентов информационной безопасности.
    6. Заключение об оценке вреда субъектам персональных данных.
    7. Инструкция об осуществлении контроля выполнения требования по защите персональных данных.
    8. Инструкция по допуску лиц в помещения, в которых ведется обработка персональных данных.
    9. Инструкция по учёту машинных носителей и регистрации их выдачи.
    10. Модель угроз.
    11. Отзыв согласия субъекта персональных данных.
    12. Перечень информационных систем персональных данных.
    13. Перечень мероприятий по защите персональных данных.
    14. План внутренних проверок состояния защиты персональных данных.
    15. Политика обработки персональных данных.
    16. Положение об ответственном за организацию обработки персональных данных.
    17. Положение о порядке обработки персональных данных.
    18. Положение по работе с инцидентами информационной безопасности.
    19. Приказ «О ведении журнала ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и обучения указанных сотрудников.
    20. Приказ «О журнале учета посетителей».
    21. Приказ «О журнале регистрации инцидентов информационной безопасности».
    22. Приказ «О журнале учёта проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля».
    23. Приказ «О назначении ответственного за организацию обработки персональных данных».
    24. Приказ «О назначении комиссии по работе с инцидентами информационной безопасности».
    25. Приказ «О создании комиссии по установлению уровня защищенности персональных данных в информационных системах персональных данных».
    26. Приказ «Об организации мероприятий по защите персональных данных».
    27. Приказ «Об ответственности за обработку и защиту персональных данных».
    28. Приказ «Об установлении границ контролируемой зоны объектов информатизации».
    29. Приказ «Об утверждении мест хранения материальных носителей персональных данных».
    30. Приказ «Об утверждении перечня лиц, имеющих право доступа в помещения, где размещены используемые средства криптографической защиты информации (СКЗИ), хранятся СКЗИ и (или) носители ключевой и аутентифицирующей и парольной информации СКЗИ».
    31. Приказ «Об утверждении типового обязательства работника о неразглашении персональных данных субъектов персональных данных».
    32. Приказ «Об утверждении типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные».
    33. Приказ «Об утверждении форм актов уничтожения персональных данных».
    34. Приказ «Об утверждении форм согласий на обработку персональных данных».
    35. Приказ «Об утверждении типовой формы поручения обработки персональных данных».
    36. Типовая форма поручения обработки персональных данных.
    37. Уведомление об обработке персональных данных.
Скачать чек-лист
Что делать, если ваш пакет ОРД неполный или ненадлежащего качества?

Естественно, организационно-распорядительную документацию необходимо привести в порядок – дополнить недостающими документами и актуализировать имеющиеся. Но разрабатывать документацию вручную — трудоемкий и длительный процесс. Автоматизируйте его! Воспользуйтесь системой DocShell. Узнайте, как она работает.

Оставьте заявку на подключение бесплатного тестового доступа к системе по бесплатному номеру телефона 8-800-770-01-31.

Проверки Роскомнадзора по защите персональных данных

proverki_roskomnadzora_po_zashchite_personalnyh_dannyh.jpg

Похожие публикации

Плановые и внеплановые проверки Роскомнадзора по защите персональных данных проводятся в соответствии со ст. 23 Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006. Данная статья наделяет ведомство контрольными функциями в отношении организаций, являющихся операторами персональных данных, то есть обладающих правом на их обработку. С 23-го февраля 2019 года вступили в действие Правила проведения подобных проверок, в которых появилось немало новшеств.

Проверки Роскомнадзора по защите персональных данных: что изменилось

Правила осуществления и организации проверок по защите персональных данных (сокращенно – ПД) введены Постановлением Правительства № 146 от 13.02.2019. Ранее они осуществлялись в соответствии с Административным регламентом проведения аналогичных проверок Роскомнадзором (Приказ Минкомсвязи № 312 от 14.11.2011). Данный Регламент не отменен, он продолжает действовать и сейчас, но только в части, не противоречащей введенным Правилам.

В новых Правилах проведения проверок по защите ПД есть ряд важных изменений:

Оставлено только два основания для включения организации или ИП в план проверки:

  • истечение трехлетнего срока со дня последней (плановой) проверки;
  • истечение трехлетнего срока со дня государственной регистрации объекта проверки (в качестве юрлица или индивидуального предпринимателя).

Такое основание, как начало обработки ПД оператором, Правилами отменено.

Сокращен вдвое срок проведения внеплановой проверки – с 20 до 10 дней. Срок осуществления запланированной проверки оставлен прежний, он составляет 20 дней.

Внеплановые документарные проверки более не проводятся – они упразднены.

Документы по запросу инспекторов предоставляются оператором в 5-дневный срок (ранее им давалось 10 дней).

До начала выездной проверки оператор ПД обязан представить запрашиваемые документы в срок, указанный в запросе (он составит не меньше 2-х рабочих дней).

Плановые проверки Роскомнадзора по защите персональных данных, по общему правилу, организуются раз в три года. Однако в определенных случаях их разрешено проводить чаще (раз в два года):


  • если оператором собирается биометрия или иные спецданные о человеке;
  • если ПД обрабатываются в государственных информационных банках (системах);
  • если ПД собираются и обрабатываются по поручению иностранного лица или госоргана, не зарегистрированного на территории РФ;
  • если оператором осуществляется трансграничная передача ПД.

Два года отсчитывается со дня окончания последней плановой контрольной проверки (п.6 Правил).

Обращаем внимание, что на данные Правила не распространяется действие Федерального закона № 294-ФЗ от 26.12.2008, который не позволяет проводить плановые проверки бизнеса чаще, чем раз в три года (ст.1 п.3.1 пп.20 закона № 294-ФЗ). То есть Правительство, которое пока также установило трехлетний срок для проведения плановых проверок обработки ПД, вправе при желании сделать их более частыми.

Проверки Роскомнадзора по персональным данным: виды, особенности

Проверки по обработке операторами персональных данных могут быть:

плановыми (о них оператор ПД уведомляется за 3 дня, либо сам отслеживает информацию на > сайте Роскомнадзора > );

внеплановыми (организуются по основаниям, указанным в п.8 Правил, например, если получена жалоба от гражданина или оператором не устранено ранее выявленное нарушение).

О внеплановой проверке оператор предупреждается за сутки до ее начала. Она может быть только выездной, то есть инспекторы приезжают по месту нахождения компании. Плановая проверка обработки ПД бывает как выездной, так и документарной (когда работниками Роскомнадзора запрашиваются и проверяются документы, без выезда на место проверки).

По итогам контрольного мероприятия составляется акт проверки Роскомнадзора по защите персональных данных. В нем либо фиксируются обнаруженные нарушения, либо отмечается, что они отсутствуют. Один из 2-х экземпляров остается у оператора, который, в случае несогласия с результатами проверки, вправе обжаловать их как судебном, так и досудебном порядке.

Операторам ПД следует учесть, что в > Единый реестр проверок > , ежегодно формируемый Генпрокуратурой, проверки по персональным данным не входят (п.2 и п.13 Постановления Правительства № 415 от 28.04.2015).

В ожидании проверки Роскомнадзора по персональным данным операторам следует:

Проверить наличие и корректность оформления документов, содержащих ПД.

Организовать внутреннюю ревизию на предприятии (проконтролировать, как хранятся документы, как с ними ведется работа, соблюдаются ли условия безопасности и т.д.).

Провести дополнительный инструктаж сотрудников, ответственных за обработку и хранение ПД.

У оператора должен иметься внутренний локальный акт – Положение (Порядок) о сборе, хранении и обработки ПД. Также проверяется наличие согласия граждан на их обработку.

Новые правила проверок Роскомнадзора в области персональных данных

Юридическая компания «Пепеляев Групп» сообщает о вступлении в силу обновленного порядка проверок соблюдения законодательства в области персональных данных

23 февраля 2019 г. вступает в силу Постановление Правительства РФ[1], устанавливающее порядок организации и осуществления проверок в отношении операторов персональных данных (далее – Постановление). Ранее порядок проведения проверок регулировался Административным регламентом 2011 г.[2] (далее – Административный регламент). Постановление обновило и дополнило этот порядок, закрепив его на более высоком нормативном уровне, как того требует законодательство.

Несмотря на то, что общие правила проведения проверок, установленные Административным регламентом, не изменились, Постановление вводит ряд любопытных, на наш взгляд, положений. Среди них можно отметить следующие.

Исключается «техническая сторона» вопроса

В Постановлении акцентировано внимание на том, что Роскомнадзор не проверяет выполнение организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (далее – ИСПДн). Причем из-под сферы проверок выведена целиком ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

В связи с выведением за пределы проверки существенного блока регуляторных требований в части обеспечения безопасности персональных данных в ИСПДн, можно ожидать последующего утверждения соответствующих правил контроля и надзора в данной области, вероятно, с передачей данной компетенции другим контрольно-надзорным органам, например, ФСТЭК России.

Увеличивается частота плановых проверок

Как и ранее, сохранилось общее правило о проведении плановых проверок операторов раз в три года и реже. Однако появилась новая классификация операторов персональных данных для целей проверок, среди них операторы:

  • осуществляющие сбор биометрических и специальных категорий персональных данных;
  • осуществляющие трансграничную передачу персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных;
  • обрабатывающие персональные данные по поручению иностранной компании (физического лица, государственного органа), не зарегистрированного в России.

Таких операторов теперь смогут проверять чаще – один раз в два года.

Уточняются иные процедурные положения

Видео (кликните для воспроизведения).

Несмотря на то, что Роскомнадзор теперь вправе осуществлять плановые проверки операторов чаще, следует учитывать нехватку ресурсов для регулярной проверки значительного количества компаний.

Однако если обратить внимание на список операторов, то, например, в связи с обработкой специальных категорий персональных данных, которая осуществляется практически всеми работодателями (например, сведения о состоянии здоровья работников), в данную группу операторов попадают, по сути, все компании. Поэтому если у Роскомнадзора будет намерение проверять того или иного оператора столь часто, это будет допустимо в рамках закона.

Уточнен и расширен перечень оснований для продления срока проведения проверки. Так, например, основанием для продления проверки теперь является разветвленность организационно-хозяйственной структуры оператора, сложность технологических процессов обработки персональных данных.

Упразднены внеплановые документарные проверки.

В отношении ИСПДн уточнено право регулятора получать во время выездной проверки доступ к ИСПДн оператора в режиме просмотра и выборки информации на предмет соответствия содержания, объема, способов обработки и сроков хранения обрабатываемых персональных данных целям их обработки.

Срок внеплановой проверки сокращается с 20 до 10 дней.

Кроме того, установлен предельный срок устранения выявленных в ходе проверки нарушений, который будет составлять шесть месяцев (ранее такой срок определялся на усмотрение Роскомнадзора).

О чем подумать, что сделать

Компаниям рекомендуется провести проверку соблюдения требований законодательства о персональных данных, а также заблаговременно подготовиться к возможным контрольно-надзорным мероприятиям Роскомнадзора.

Помощь консультантов

Специалисты юридической компании «Пепеляев Групп» рады оказать услуги по проведению аудита операторов персональных данных в части соблюдения требований законодательства о персональных данных и по приведению деятельности операторов в соответствие с требованиями закона.

Наши юристы обладают большим опытом по подготовке и сопровождению проверок, проводимых Роскомнадзором, и готовы оказать соответствующее комплексное правовое и техническое содействие для своевременного выявления возможных нарушений и их устранения, а также представлять интересы организации и ее сотрудников при проведении контрольных мероприятий и в спорах с административными органами.

[1] Постановление Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».

[2] Утвержден Приказом Минкомсвязи России от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».

Источники


  1. CD-ROM. Лекции для студентов. Юридические науки. Диск 1. — Москва: Высшая школа, 2016. — 251 c.

  2. Исследования по истории и теории развития авиационной и ракетно-космической науки и техники: моногр. . — М.: Наука, 2011. — 264 c.

  3. Великородная, Л. И. Государственная регистрация юридических лиц: от создания до ликвидации / Л.И. Великородная. — М.: Московская Финансово-Промышленная Академия, 2011. — 304 c.
  4. Мархгейм, М. В. Правоведение / М.В. Мархгейм, М.Б. Смоленский, Е.Е. Тонков. — М.: Феникс, 2009. — 416 c.
  5. Контрольно-кассовая техника. Нормативные акты, официальные разъяснения, судебная практика и образцы документов. — М.: Издание Тихомирова М. Ю., 2018. — 113 c.
  6. Сидорова, Е.В. Используем сервисы Google. Электронный кабинет преподавателя: моногр. / Е.В. Сидорова. — М.: БХВ-Петербург, 2015. — 966 c.
Проверка роскомнадзора по защите персональных данных что проверяют
Оценка 5 проголосовавших: 1
Читайте так же:  Исковое заявление о взыскании задолженности по алиментам

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here