Роскомнадзор поведет проверки работодателей на предмет защиты персональных данных по новым правилам

Роскомнадзор поведет проверки работодателей на предмет защиты персональных данных по новым правилам

Правительство РФ утвердило «Правила проведения проверок операторов персональных данных». Постановление № 146 от 13.02.2019 г. можно скачать с официально сайта по ссылке.

Роскомндзор и его органы будут проверять организации и ИП на предмет соблюдения законодательства о персональных данных. Документ фиксирует:

• порядок проведения плановых и внеплановых проверок;
• права и обязанности должностных лиц при осуществлении государственного контроля;
• особенности проведения документарных проверок;
• правила проведения выездных проверок;
• порядок оформления результатов проверок;
• перечень мер, принимаемых в отношении фактов нарушения требований;
• порядок организации и проведения мероприятий по контролю без взаимодействия с операторами;
• порядок организации и проведения мероприятий по профилактике нарушений требований;
• досудебный (внесудебный) порядок обжалования решений и действий (бездействия) должностных лиц в ходе проведения проверок.

Предусмотрено, что плановые проверки будут проводиться в соответствии с ежегодными планами проверок. А основанием для проведения такой проверки станет истечение трех лет со дня госрегистрации оператора в качестве юрлица или ИП, а также окончания последней плановой проверки оператора.

Однако в отношении ряда операторов указанные плановые проверки будут проводиться не чаще одного раза в два года со дня окончания его последней плановой проверки. Также определен перечень оснований для проведения внеплановых проверок по приказу Роскомнадзора. В их числе – требование прокурора об осуществлении внеплановой проверки, а также неисполнение или частичное исполнение оператором предписания об устранении выявленного нарушения, выданного органами Роскомнадзора. Кроме того, основаниями для внеплановых проверок будут обращения граждан.

Получается, что под проверку Роскомнадзора может попасть, по сути, любой работодатель, которые взаимодействует с персональными данными работников. Достаточно лишь обращения гражданина. Документ вступит в силу 23 февраля.

Напомним, чтоза нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.
В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

• на граждан – от 3 000 до 5 000 руб.;
• должностных лиц – от 10 000 до 20 000 руб.;
• юридических лиц – от 15 000 до 75 000 руб.

Проверка Роскомнадзора на 2018 год – что проверяют, как подготовиться, виды проверок

Здравствуйте! Сегодня мы обсудим еще один вид проверок, затрагивающий каждого работодателя, а именно инспекции Роскомнадзора. О том, как они проходят, и как к ним подготовиться, читайте в нашей статье.

Процедура проверки во многом зависит от ее вида. Основные типы проверок:

1. Плановые. Их график составляется заранее, еще в конце предыдущего года, и публикуется на сайте. Кроме того, проверяемого предупредят письмом или лично как минимум за три дня до начала инспекции.
2. Внеплановые. Они инициируются после поступления жалоб от недовольных клиентов или даже от доноса конкурента. В зависимости от серьезности предполагаемого нарушения о проверке могут предупредить за сутки, а могут и не предупредить вовсе.
3. Документарные. Проверяется пакет документов, который по запросу предоставляется в контролирующий орган.
4. Выездные. Осматривается территория предприятия.

Далеко не все знают, за какую область отвечает Роскомнадзор, или иначе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Роскомнадзор контролирует работу операторов любых персональных данных (сотрудников или клиентов).

Подконтрольными Роскомнадзору субъектами выступают все предприятия, большинство ИП и даже некоторые граждане, которые вне зависимости от объема, обрабатывают и собирают информацию о клиентах, сотрудниках и других гражданах.

У вас есть наемные работники? Если ответ положительный, то будьте уверены, вы уже точно попадаете под проверки Роскомнадзора по персональным данным.

Трудовой Кодекс РФ дает нам такое толкование термина: персональные данные — сведения, которые необходимо передать работодателю для осуществления служебных обязанностей. Например , это паспортные данные, номер телефона, адрес и даже факты биографии (образование, опыт работы, семейное положение).

1. Документы, включающие в себя персональные данные. Если проверка выездная – еще и условия их хранения, организацию места хранения. Собственно хранение данных на предприятии может быть физическим или электронным, Роскомнадзор проверяет оба метода;
2. Обрабатывающие их системы (компьютеры и программы);
3. Внутренние нормативные акты, касающиеся обработки и хранения персональных данных, и их практическое соблюдение;
4. Сайт компании в интернете. Например, предприятие могут оштрафовать, если на его сайте производится сбор персональных данных (для регистрации нужно вводить свое имя, номер телефона), но не размещены подробности дальнейшей работы компании с персональными данными.

Единого перечня документов, которые подвергаются проверке, не существует, но приблизительный список такой:

Перед любой проверкой важна правильная подготовка. Давайте рассмотрим, какие мероприятия помогут не ударить в грязь лицом перед инспектором.

Проверка Роскомнадзора одна из самых сложных в плане подготовки. Данные – вещь нематериальная, для обеспечения безопасности их недостаточно положить в сейф под ключ. Нужно привести в порядок огромный пакет документов, и не удивительно, что сделать это самостоятельно, не упустив ничего из виду, задача не из легких.

Крупные операторы обычно не скупятся на содержание в штате фирмы специально обученного сотрудника, который следил бы за всеми бумагами, информационными системами и руководил подготовкой к проверке.

Для предприятий поменьше есть другой, но тоже недешевый вариант – нанять стороннего эксперта. Он поможет единожды систематизировать хранение и обработку персональных данных на фирме.

Если эти два варианта предпринимателю не по карману, придется все делать собственными силами.

Основной план подготовительных мероприятий выглядит так:

Начинается проверка с уведомления проверяемого. В нем указываются сроки и реквизиты инициирующего приказа. Прилагаются, кроме того, копия самого приказа, план контрольных мероприятий.

Сначала проверяют документы. На предприятие отправляется запрос, на который необходимо ответить в течение 10 дней. Предприниматель предоставляет копии документов, заверенные подписью и печатью. Свидетельство нотариуса не требуется. Если в документах содержится вся необходимая для разъяснения ситуации информация, то до выездной инспекции дело не дойдет.

Но если в бумагах будут обнаружены ошибки или у инспектора останутся вопросы, то тогда он лично навестит предпринимателя. Посетителей должно быть минимум двое, они обязаны предъявить удостоверения и копии приказа о проведении проверки.

Длится выездная проверка 20 рабочих дней, и еще на 20 дней она может быть продлена, если требуется провести дополнительные исследования.

Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки.
Результат проверки можно обжаловать. Сделать это можно как письменно, так и устно (например, в ходе личного приема или по телефону – подробности можно найти на сайте территориального органа Роскомнадзора). Рассматривается жалоба в течение месяца.

Во время проверки:

1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
3. Не паникуйте;
4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Проверка Роскомнадзора: как подготовиться и избежать штрафов

Проверяя компанию, Роскомнадзор руководствуется прежде всего Федеральным законом №152-ФЗ «О персональных данных». При этом проверка может быть как плановой, так и внеплановой.

Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года. Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит. Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Тем более что в настоящее время Госдума рассматривает законопроект о значительном увеличении штрафов за нарушения в обработке персональных данных.

Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.

О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.

Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.

При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.

В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.

Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?

Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований. Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять. Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.

Если привлечение внешнего специалиста для вас дорого, сделайте выбор в пользу бюджетного варианта и используйте специальные онлайн-сервисы для выполнения законодательства о персональных данных.

Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:

Чтобы выслать уведомление в электронном виде, нужно на сайте Роскомнадзора заполнить электронную форму. После отправки электронного уведомления, распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.

В течение 30 дней Роскомнадзор рассмотрит ваше уведомление и добавит компанию в реестр операторов. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона №152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.

Проверка Роскомнадзора: на что обращают внимание инспекторы?

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Какие персональные данные можно обрабатывать без уведомления:

1. данные, которые обрабатываются в соответствии с трудовым законодательством;
2. данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3. данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4. данные, сделанные субъектом персональных данных общедоступными;
5. данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
6. данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7. данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8. данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
9. данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.

Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных. К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.

В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

Как Роскомнадзор будет проверять операторов персональных данных

Роскомнадзор начнёт контролировать работу операторов персональных данных и принимать меры против нарушителей законодательства об охране личных сведений россиян. Виды и правила проведения проверок определены в постановлении Правительства, которое вступает в силу 23 февраля.

Под надзором федеральной службы Минкомсвязи будут юридические лица и индивидуальные предприниматели, которые являются операторами персональных данных.

Роскомнадзор может проводить плановые и внеплановые проверки, а также документарные и выездные. В компетенции таких проверок — выполнение операторов всех требований закона «О персональных данных», кроме мер по обеспечению безопасности личных данных россиян при обработке. Это значит, что чиновники будут проверять соблюдение принципов и условий обработки данных (в том числе конфиденциальность), соблюдение оператором прав граждан, чьи данные обрабатываются, а также своих обязанностей при сборе данных, обращении граждан, выявлении нарушений и прочего.

1. Плановые проверки

По общему правилу, проводятся раз в три года.

Исключение — операторы, которые обрабатывают биометрические данные или специальные категории данных, либо работают с государственными информационными системами (ГИС). Таких операторов Роскомнадзор будет проверять раз в два года. Та же периодичность предусмотрена для проверки операторов, которые собирают персональные данные россиян по поручению иностранного субъекта (госоргана, юрлица или физлица), не зарегистрированного в России, либо передают данные на территорию иностранного государства, не обеспечивающего «адекватную защиту прав субъектов персональных данных».

2. Внеплановые проверки

Проводятся в случае, если оператор не исполнил предписание об устранении выявленных нарушений. Также среди оснований для внеплановой проверки — подтверждённые жалобы граждан на нарушение их прав как субъектов персональных данных (право на доступ к своим данным, обработка данных для продвижения товаров только при согласии гражданина и так далее).

3. Документарные проверки

Проводятся только в рамках плановых контрольно-надзорных мероприятий. При этом запросы для проверки жалоб, поступивших от граждан, документарной проверкой не считаются.

Если оператор не предоставит требуемые документы и пояснения в срок, то Роскомнадзор организует выездную проверку.

4. Выездная проверка

Проводится по месту нахождения оператора и месту фактического осуществления обработки персональных данных. Оператор должен предоставить чиновникам доступ к оборудованию, которое обрабатывает персональные данные, а также всю затребованную документацию. Если оператор будет препятствовать проведению проверки, представители Роскомнадзора могут позвать на помощь полицию или прокуратуру

Выездная проверка не проводится в отношении физического лица, не являющегося индивидуальным предпринимателем.

Проверки Роскомнадзора на 2019 год важны для любой организации, которая работает с персональными данными. Узнайте, как проводится проверка Роскомнадзора, что именно проверяет ведомство, как подготовиться к проверке

Статьей 23 федерального закона от 27.07.2006 «О персональных данных» No152-ФЗ Роскомнадзор наделен функциями защиты персональных данных граждан и контролированием соответствия их обработки требованиям законодательства.

Трудовой кодекс гласит, что персональные данные — сведения, которые необходимо передать работодателю для осуществления служебных обязанностей – номер паспорта, адрес, факты биографии. Соответственно, каждое предприятие или организация попадает под проверки Роскомнадзора, плановые и внеплановые. Специалисты ведомства могут либо сами явиться на предприятие, либо провести документарную проверку В этом случае запрашивается перечень документов, копии которых руководитель предприятия должен направить в Роскомнадзор в течение 10 дней.

Существуют также мероприятия систематического контроля – когда проверяющие мониторят, к примеру, сайт организации. Об этом не предупреждают, а штрафы за выявленные нарушения весьма существенны.

Какие документы можно и нельзя хранить в личном деле

О плановой проверке предприятие предупреждают за трое суток – через уведомление, где проставлена дата контроля. Но, на самом деле, у руководителя есть больше трех дней, чтобы подготовиться: скачать план проверок Роскомнадзора на 2019 год можно на официальном сайте ведомства.

Максимальная длительность плановой проверки составляет 20 дней. Ведомство может потребовать еще 20 дней – если, например, нужна дополнительная экспертиза документов. Но такое бывает очень редко.

Такие проверки проводятся, как правило, по жалобам. Подать их может любой человек, недовольный работой предприятия – на сайте Роскомнадзора либо через портал «Госуслуги». Еще один повод – постоянные нарушения, обнаруженные при систематическом контроле. Кроме того, внеплановые проверки проводят после плановых – чтобы выяснить, устранила ли компания все обнаруженные недостатки.

Предупреждают о внеплановой инспекции за сутки, длительность ее такая же – 20 дней.

Ваш идеальный документ

Скачайте пакет важнейших документов для работы отдела кадров

В первую очередь Роскомнадзор интересует, насколько соответствует требованиям закона работа с персональными данными. Поэтому под проверку попадают:

• сами документы с ПД, а также условиях их хранения;
• компьютеры и программы, через которые идет обработка данных;
• внутрикорпоративные документы, которые регулируют обработку ПД, и их исполнение;
• сайт организации – в случае его наличия.

Приблизительный список того, что Роскомнадзор запрашивает на проверку в 2019 году, насчитывает около 30 пунктов, в которых значатся:

1. учредительные документы;
2. уведомление о намерении работать с персональными данными либо выписка из реестра операторов;
3. список той информации, которую собирает о гражданах предприятие;
4. список работников предприятия, которые работают с ПД, и служебные инструкции;
5. документ, устанавливающий ответственность сотрудников за разглашение ПД;
6. положения о защите ПД и об особенностях их обработки;
7. план мероприятий по защите персданных и акт, где указывается степень защищенности;
8. соглашения о неразглашении ПД, подписанные всеми работниками предприятия;
9. бланки согласия граждан на обработку их персональных данных;
10. журналы инструктажей сотрудников по информбезопасности;
11. журналы учета всех носителей данных.

Попробуйте бесплатно, курс повышения квалификации

Документационное обеспечение работы с персоналом

• Соответствует требованиям профстандарта «Специалист по управлению персоналом»
• За прохождение — удостоверение о повышении квалификации
• Учебные материалы представлены в формате наглядных конспектов с видеолекциями экспертов
• Доступны готовые шаблоны документов, которые можно скачать и оставить себе для работы

Начать подготовку к проверке Роскомнадзора в 2019 году следует с уведомления об обработке персональных данных. Этот документ – обязательное условие работы любого предприятия. Если вы не подали его – придется платить штраф. Если уведомление подано, но какие-то факты в деятельности предприятия не соответствуют тем, что указаны в документе – тоже последует штраф.

Очень важно разработать для предприятия особую политику по обработке персональных данных. Назвать документ можно как угодно. Главное – каждое его положение надо прописать в строгом соответствии с законом и ознакомить с ним всех сотрудников.

Просмотрите весь путь персональных данных на вашем предприятии – сбор, хранение, уничтожение. Следует помнить, что информация берется с какой-то целью – и, как только цель достигнута, должна быть уничтожена.

Все сотрудники, в особенности те, что напрямую работают с персональными данными, должны быть готовы к проверке Роскомнадзора в 2019 году. Это значит, что всех надо ознакомить под роспись с внутрикорпоративными актами по этому вопросу. Помните: работник имеет полное право отказаться что-то говорить или подписывать без присутствия руководителя.

Тщательно проверьте условия хранения персональных данных – и электронных, и на бумажных носителях. Для первых должны быть надежно защищенные базы, для вторых – не менее надежные сейфы и шкафы.

Новые правила проверок Роскомнадзора в области персональных данных

Юридическая компания «Пепеляев Групп» сообщает о вступлении в силу обновленного порядка проверок соблюдения законодательства в области персональных данных

23 февраля 2019 г. вступает в силу Постановление Правительства РФ[1], устанавливающее порядок организации и осуществления проверок в отношении операторов персональных данных (далее – Постановление). Ранее порядок проведения проверок регулировался Административным регламентом 2011 г.[2] (далее – Административный регламент). Постановление обновило и дополнило этот порядок, закрепив его на более высоком нормативном уровне, как того требует законодательство.

Несмотря на то, что общие правила проведения проверок, установленные Административным регламентом, не изменились, Постановление вводит ряд любопытных, на наш взгляд, положений. Среди них можно отметить следующие.

В Постановлении акцентировано внимание на том, что Роскомнадзор не проверяет выполнение организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (далее – ИСПДн). Причем из-под сферы проверок выведена целиком ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Как и ранее, сохранилось общее правило о проведении плановых проверок операторов раз в три года и реже. Однако появилась новая классификация операторов персональных данных для целей проверок, среди них операторы:

• осуществляющие сбор биометрических и специальных категорий персональных данных;
• осуществляющие трансграничную передачу персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных;
• обрабатывающие персональные данные по поручению иностранной компании (физического лица, государственного органа), не зарегистрированного в России.

Таких операторов теперь смогут проверять чаще – один раз в два года.

Уточняются иные процедурные положения

Несмотря на то, что Роскомнадзор теперь вправе осуществлять плановые проверки операторов чаще, следует учитывать нехватку ресурсов для регулярной проверки значительного количества компаний.

Однако если обратить внимание на список операторов, то, например, в связи с обработкой специальных категорий персональных данных, которая осуществляется практически всеми работодателями (например, сведения о состоянии здоровья работников), в данную группу операторов попадают, по сути, все компании. Поэтому если у Роскомнадзора будет намерение проверять того или иного оператора столь часто, это будет допустимо в рамках закона.

Уточнен и расширен перечень оснований для продления срока проведения проверки. Так, например, основанием для продления проверки теперь является разветвленность организационно-хозяйственной структуры оператора, сложность технологических процессов обработки персональных данных.

Упразднены внеплановые документарные проверки.

В отношении ИСПДн уточнено право регулятора получать во время выездной проверки доступ к ИСПДн оператора в режиме просмотра и выборки информации на предмет соответствия содержания, объема, способов обработки и сроков хранения обрабатываемых персональных данных целям их обработки.

Срок внеплановой проверки сокращается с 20 до 10 дней.

Кроме того, установлен предельный срок устранения выявленных в ходе проверки нарушений, который будет составлять шесть месяцев (ранее такой срок определялся на усмотрение Роскомнадзора).

Компаниям рекомендуется провести проверку соблюдения требований законодательства о персональных данных, а также заблаговременно подготовиться к возможным контрольно-надзорным мероприятиям Роскомнадзора.

Специалисты юридической компании «Пепеляев Групп» рады оказать услуги по проведению аудита операторов персональных данных в части соблюдения требований законодательства о персональных данных и по приведению деятельности операторов в соответствие с требованиями закона.

Наши юристы обладают большим опытом по подготовке и сопровождению проверок, проводимых Роскомнадзором, и готовы оказать соответствующее комплексное правовое и техническое содействие для своевременного выявления возможных нарушений и их устранения, а также представлять интересы организации и ее сотрудников при проведении контрольных мероприятий и в спорах с административными органами.

[1] Постановление Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».

[2] Утвержден Приказом Минкомсвязи России от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».

Проверки операторов персональных данных Роскомнадзором с 23.02.2019 будут проходить по новым правилам

Проверки операторов персональных данных будут проводиться Роскомнадзором в соответствии с новыми Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных, утв. постановлением Правительства РФ от 13.02.2019 № 146.

Важно! Правила не распространяются на соблюдение организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со ст. 19 закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Предмет проверки Роскомнадзора:

• деятельность оператора по обработке персональных данных;
• документы и локальные акты оператора;
• информационные системы персональных данных.

Виды проверок Роскомнадзора:

1. Документарные — в основном все плановые проверки. Документы представляются оператором по обработке персональных данных по запросу Роскомнадзора в течение 5 рабочих дней.
2. Выездные — по месту ведения деятельности оператором персональных данных. Все внеплановые проверки Роскомнадзора проводятся только в форме выездных проверок.

Обратите внимание! Если оператор чинит препятствия проверке, может быть составлен акт о воспрепятствовании проведению выездной проверки.

Плановые проверки операторов персональных данных:

1. Основание проведения — приказ, изданный в соответствии с графиком (планом) проверок. Планы проверок Роскомнадзор публикует на своем сайте ежегодно, опубликован план и на 2019 год. Периодичность проверок составляет:
   • 1 раз в 3 года — по общему правилу;
   • 1 раз в 2 года — в отношении отдельных операторов персональных данных (работа со специальными категориями данных, для иностранных лиц и др.).
2. Уведомление оператора по обработке персональных данных о плановой проверке Роскомнадзора — не позднее чем за 3 рабочих дня.
3. Срок проведения плановой проверки Роскомнадзора — 20 рабочих дней с возможностью продления на 20 рабочих дней.

Внеплановые проверки операторов персональных данных:

1. Основание проведения проверки — приказ о ее проведении, изданный в связи:
   • с невыполнением предписания;
   • обращением гражданина (при наличии признаков нарушений по сообщенной информации);
   • требованием прокуратуры и др.
2. Уведомление оператора по обработке персональных данных о внеплановой проверке Роскомнадзора — не позднее чем за 24 часа.
3. Срок проведения внеплановой проверки Роскомнадзора — 10 рабочих дней с возможностью продления на 10 рабочих дней.

Оформление результатов проверки

По результатам проверки оператора по обработке персональных данных Роскомнадзор:

• составляет акт проверки в 2 экземплярах, один из которых вручает проверяемому оператору персональных данных;
• выдает предписание об устранении выявленных нарушений (при их обнаружении).

Важно! Результаты проверки могут быть обжалованы как в судебном, так и в административном порядке.

Статьи об обработке персональных данных читайте в рубрике «Персональные данные».

Оцените статью: