Как подготовиться к проверке роскомнадзора. Подготовка к проверке роскомнадзора

28 Января 2016 г. 12:22

В числе многочисленных проверяющих инстанций, контролирующих деятельность юридических лиц и индивидуальных предпринимателей, Роскомнадзор играет особую роль. Если о СЭС, прокуратуре или, например, налоговой инспекции знают практически все, то о самом факте существования Роскомнадзора знают немногие. А стоило бы. Эта организация обладает большими полномочиями.

Контроль за обработкой персональных данных

Не единственная, но одна из главных задач Роскомнадзора – контролировать обработку персональных данных операторами. Оператором, фактически, является любое юридическое лицо и большинство индивидуальных предпринимателей . В некоторых случаях операторами персональных данных могут быть и прочие физические лица.

Если к вам еще не пришли с проверкой – не расслабляйтесь. Обязательно придут. В последнее время защите персональных данных и подготовке соответствующих регулирующих документов уделяется особое внимание.

А если ваша компания является оператором, готовить пакет соответствующих документов вы обязаны – и поддерживать их в актуальном состоянии. Проверкой соответствующей документации и, если необходимо, условиями хранения документов, и занимается Роскомнадзор .

Чем руководствуется Роскомнадзор при проверках?

В первую очередь ведомство следит за соблюдением 152-ФЗ «О персональных данных» от 2006 года. Это своеобразная «Конституция», определяющая нормы при создании прочих нормативно-правовых актов в данной сфере.

С сентября прошлого года проверки, связанные с персональными данными, выведены из-под действия 294-ФЗ. Порядок проверок регламентируется административным регламентом от 2011 года, утвержденным приказом Минкомсвязи РФ №312 и размещенным на главном сайте Роскомнадзора. Именно он определяет, как и когда будет проводиться плановая или внеплановая проверка. Кстати, в 2015 году добавилось понятие «мероприятия по систематическому наблюдению», о которых мы скажем ниже.

В отличие от плановых проверок, проводимых не чаще, чем раз в 3 года, внеплановые могут проводиться гораздо чаще – по мере поступления жалоб, по результатам «систематического наблюдения», по представлению прокуратуры.

Опасаться проверок вполне резонно. В худшем случае Роскомнадзор может вообще приостановить деятельность организации до устранения нарушений, не говоря уже об административной ответственности, ужесточение которой готовится еще с прошлого года.

ВИДЫ ПРОВЕРОК РОСКОМНАДЗОРА

Документарная, выездная проверки и систематическое наблюдение

Документарная проверка

Документарная проверка не предусматривает выезда специалистов Роскомнадзора на территорию организации. Роскомнадзор отправляет коммерческой/некоммерческой организации, предпринимателю или физическому лицу список документов, копии которых необходимо отправить в Роскомнадзор.

Выездная проверка

Выездная проверка намного серьезнее для оператора. Сотрудники Роскомнадзора прибывают непосредственно на место обработки персональных данных – причем проверить могут не только наличие необходимых документов, но и, например, условия хранения персональных данных на материальных носителях (возможность доступа неуполномоченных лиц и т. п.), беседовать с сотрудниками на знание правил обработки.

Отметим, что сотрудник Роскомнадзора обычно способен найти немало нарушений в проверяемых документах. Если же речь идет о выездной внеплановой проверке, дела оператора персональных данных плохи. Особенно, если он не подготовился к ней заранее.

Систематическое наблюдение

Новые полномочия Роскомнадзора. Поскольку о прецедентах «систематического наблюдения» и его результатах пока практически ничего не известно, остается ждать публикаций о конкретных случаях принятия Роскомнадзором данных мер.

Расписание мероприятий по систематическому наблюдению также выкладывается на территориальных сайтах Роскомнадзора, однако конкретные компании в нем не указываются, только сроки проведения мероприятий по систематическому наблюдению по конкретным отраслям (государственные учреждения, коллекторские агентства и т. п).

Систематическое наблюдение опасно, в первую очередь, для компаний, владеющих сайтами, обрабатывающими персональные данные. Особенно опасно оно тем, что оповещать о систематическом наблюдении компанию никто не обязан. По результатам, если выявлены нарушения, проводится внеплановая проверка в соответствии с «Административным регламентом».

Плановая и внеплановая проверки

Плановая проверка

График плановых проверок составляется на год вперед и выкладывается в конце года, предшествующего началу проверок. Раньше общий график проверок выкладывался на главном сайте Роскомнадзора, теперь, в связи с изменениями в «Административном регламенте» – на территориальных сайтах, отдельно для каждого региона.

Удобство такой системы в том, что наименование организации известно заранее, известна дата и сроки проведения проверки, поэтому единственное, что требуется от операторов персональных данных – элементарная внимательность. Тем более, что о плановых и внеплановых проверках Роскомнадзор уведомляет операторов заранее.

Хуже всего приходится тем организациям, начало проверок для которых приходится на самое начало года. У них минимальный запас времени для подготовки к проверке.

Внеплановая проверка

Может проводиться Роскомнадзором после рассмотрения жалобы либо, например, по результатам систематического наблюдения. В связи с новейшими изменениями в нормативно-правовых актах, для Роскомнадзора в большинстве случаев теперь не требуется одобрение или представление прокуратуры.

У самой прокуратуры достаточно полномочий обратиться в Роскомнадзор при выявлении любого правонарушения, связанного с обработкой персональных данных.

Примечательно, что теперь Роскомнадзор должен согласовывать проверки по обращениям граждан с прокуратурой. Это, пожалуй, единственный вариант, при котором вмешательство прокуратуры необходимо.

Напомним, о внеплановой проверке оператора персональных данных уведомляют за три дня, в отдельных случаях, предусмотренных «Административным регламентом» - за 24 часа. В таких случаях самостоятельно подготовиться к проверке достаточно проблематично.

ПОДГОТОВКА К ПРОВЕРКЕ РОСКОМНАДЗОРА

Напомним, кроме проверок Роскомнадзора, государство вполне может провести проверки ФСТЭК и ФСБ (последняя - только в государственных органах), у каждого ведомства своя специализация.

Цель проверок Роскомнадзора – выяснить, насколько точно соблюдаются требования 152-ФЗ «О персональных данных» и других нормативных актов, связанных с обработкой ПДн.

Теоретически, документы к проверке можно подготовить самостоятельно, однако, это далеко не всегда удается даже сотрудникам, имеющим опыт подготовки юридической документации. Сказывается специфика защиты персональных данных и, как следствие, специфика подготовки организационно-распорядительной документации.

Эффективно справиться с задачей способен специалист в области защиты информации, но, такие сотрудники имеются в штате далеко не каждой организации, да и «себестоимость» сформированной документации с учетом затрат человеко-часов, выйдет слишком высокой.

Еще один вариант – привлечь эксперта из сторонней организации. Такие услуги стоят весьма дорого, однако результат того стоит. Основной недостаток, помимо высокой цены – специалист подготовит документы один раз. При малейших изменениях в структуре компании, структуре информационных систем, кадровом составе и т. п. привлекать эксперта придется снова.

Оптимальный вариант – использовать онлайн-сервис подготовки документов. Достойных сервисов подобного рода не очень много и их имена давно известны. При этом, подготовить пакет документов вполне сможет штатный бухгалтер, юрист, сотрудник ИТ-отдела или руководитель организации.

  • Назначьте сотрудника, ответственного за подготовку документов. Помимо бухгалтера, юриста или сотрудника ИТ-отдела это может быть работник отдела кадров или, как мы же писали, сам руководитель. Специализация у сотрудников разная, поэтому оценить временные затраты в каждом конкретном случае не представляется возможным.
  • Назначьте ответственного за обработку персональных данных. Отметим, что в крупной организации доступ к персональным данным могут иметь десятки, если не сотни человек. Стоит выбирать из их числа, лучше всего – того же сотрудника, что будет отвечать за подготовку организационно-распорядительной документации.
  • Возможно, вы никогда не задумывались над вопросом, какие персональные данные обрабатывает ваша организация, по каким принципам производится обработка персональных данных, как осуществляется сбор, уничтожение и пр. Вдумчиво оцените этот процесс либо, если подготовкой документации занимаетесь не вы, препоручите это ответственному лицу. Любой нюанс при дальнейшей подготовке документов может иметь значение – именно на основании этих данных вы будете готовить документы.
  • Займитесь непосредственно подготовкой документации. Проблема в том, что списка обязательных документов не существует . Главное, сформировать пакет в соответствии с требованиями 152-ФЗ, причем, помимо «основного» закона, имеются и другие нормативно-правовые, в т. ч. ведомственные акты – приказы ФСТЭК, ФСБ и др. Преимущество онлайн-сервиса подготовки документов именно в том, что он учитывает все необходимые требования при формировании пакета. При самостоятельной подготовке стоит создать «Политику в отношении обработки персональных данных» (название может отличаться), т. н. «модель угроз», приказ о назначении ответственных лиц и др. Поработать над документацией действительно придется, особенно, если вы делаете это в первый раз.
  • С документами необходимо ознакомить сотрудников (с тем документами, которые имеют к ним отношение по роду деятельности), партнеров, соискателей. Например, при заключении трудового договора желательно прописывать основные принципы обработки персональных данных в тексте.
  • «Политика в отношении обработки персональных данных» - документ основной и общедоступный. Теоретически, вы должны предъявить его по первому требованию, особенно лицам, обработкой персональных данных которых вы занимаетесь. Крайне желательно разместить «Политику» на сайте, если в вашей организации он имеется. Обязательно – если сайт собирает персональные данные пользователей (например, при регистрации).
  • Отправьте уведомление в Роскомнадзор ДО начала обработки персональных данных. Уведомление подается как в электронном виде – анкета заполняется на сайте Роскомнадзора, так и в бумажном – распечатанная копия отправляется по почте. Важно! Отправка электронного уведомления не избавляет от обязанности отправлять бумажную копию. Через 30 дней вашу организацию включат в Реестр операторов персональных данных. Отметим, что подавать уведомление о начале обработки персональных данных обязаны далеко не все операторы. В п. 2 ст. 22 152-ФЗ перечислены те, кто подавать уведомление не обязан. На деле, подать его рекомендуется всем. В случае ошибки вашу организацию и ответственных должностных лиц привлекут к административной ответственности.

ПРОВЕРКА

На что могут обратить внимание проверяющие?

Стоит помнить, что уведомление, как и прочие документы, нуждается в своевременной актуализации. Если изменились данные, указанные в поданной анкете, отправить уведомление необходимо повторно – на это обязательно обратят внимание.

Проверяющие обязательно ознакомятся с организационно-распорядительными документами. Напомним, утвержденного списка документов не существует, поэтому проверяющие будут выяснять, насколько сформированные документы соответствуют требованиям законов, приказов и т. п. – названия самих документов большой роли не играют. Как правило, особое внимание уделят «Политике обработки персональных данных». Это не означает, что прочие документы оставят без внимания.

Если организация имеет веб-сайт (не имеет значения, предусмотрен ли интерфейсом сбор персональных данных), целесообразно разместить на нем «Политику».

Данные, как по документам, так и в действительности, следует обрабатывать только в соответствии с положениями законов. Т. е., собирать их в строго необходимом объеме, при заполнениями субъектами анкет указывать цели сбора данных, уничтожать персональные данные в соответствии с требованиями законов и т.п. За некоторыми исключениями, обработка персональных данных производится строго с согласия субъекта персональных данных.

Внимательно ознакомьтесь со 152-ФЗ «О персональных данных». За безопасность персональных данных перед субъектом отвечает оператор – даже в случаях, когда их передача допускается третьей стороне в соответствии с требованиями закона. Обработка персональных данных третьей стороной подробно прописывается в договоре с этой стороной – цели передачи, меры по обеспечению конфиденциальности, действия с персональными данными и т. п.

В самой организации доступ к персональным данным должен быть ограничен кругом сотрудников, в чьи обязанности входит обработка персональных данных. Речь идет не только о компьютерной технике. Если речь идет о персональных данных на бумажных и иных носителях, материалы должны быть закрыты в специальных шкафах или помещениях, доступ к которым имеют только определенные люди. Пример – даже если сотрудник относится к числу топ-менеджеров, однако в сформированных документах не предусмотрен его допуск к персональным данным, получать его простым распоряжением ответственным лицам он не имеет права.

Это лишь некоторые из ключевых аспектов, на которые сотрудники Роскомнадзора обратят внимание при проверке. Тщательно знакомьтесь с законами и выбирайте способ формирования документов. Любая из ошибок способна привести к нежелательным последствиям. Так, Роскомнадзор вправе не только составлять протоколы для передачи дел в суд, но и приостановить деятельность организации до устранения допущенных ошибок, если имели место ошибки, а не преступление.

Иван Носков, юрист "Зарцын и партнеры"

Роскомнадзор и персональные данные

В первой нашей статье этого цикла мы говорили о том , что Роскомнадзор может проверять компании по нескольким основаниям . А в этой части мы более подробно поговорим о проверках, касающихся персональных данных .

Тем более что в начале января этого года Роскомнадзор заявил о масштабных проверках интернет-бизнеса по соблюдению ими 152-ФЗ .

На что обращают внимание инспекторы

  1. Порядок проведения проверки во многом зависит от специфики вашего бизнеса, но есть некие общие постулаты, которым следуют инспекторы. Прежде всего, они захотят ознакомиться со всеми необходимыми внутренними документами по обработке ПДн. И обязательно обратят внимание на то, подавали ли вы уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Безусловно, не всем и не всегда это уведомление нужно подавать. Существует перечень персональных данных, которые можно обрабатывать без уведомления:

  • данные, которые обрабатываются в соответствии с трудовым законодательством, – это данные ваших штатных работников;
  • данные, полученные оператором в связи с заключением договора, стороной которого является субъект ПДн, если эти данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн, – это данные ваших пользователей и клиентов;
  • данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующей в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  • данные, сделанные субъектом персональных данных общедоступными;
  • данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
  • данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  • данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ;
  • данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании.

Бывают случаи, когда информация, имеющаяся у ведомства, может не соответствовать действительности. Например, если после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, такую компанию могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Стоит обратить внимание, что вне проверки Роскомнадзор имеет право направить оператору ПДн запрос о предоставлении обоснования ненаправления уведомления об обработке ПДн. На такой запрос следует отвечать оперативно (в срок 30 дней), иначе вы можете быть привлечены к административной ответственности.

Во время проверки Роскомнадзор может попросить формы документов , в которых содержатся персональные данные. Это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее.

Инспекторам также может быть интересна форма согласия на обработку персональных данных. Она должна соответствовать требованиям закона.

Из основных значимых документов, запрашиваемых при проведении регулятором проверки соблюдения компанией норм закона о персональных данных (ПДн), можно выделить следующие (пункты касаются как автоматизированной обработки, так и неавтоматизированной):

  • Уведомление об обработке ПДн.
  • Документ, определяющий ответственного за организацию обработки ПДн.
  • Перечень сотрудников, допущенных к обработке ПДн.
  • Документ, определяющий места хранения ПДн.
  • Справка об обработке специальных и биометрических категорий ПДн.
  • Справка об осуществлении трансграничной передачи ПДн.
  • Типовые формы документов с ПДн.
  • Порядок уничтожения ПДн.
  • Порядок передачи ПДн третьим лицам.
  • Типовая форма согласия на обработку ПДн.
  • Порядок учета обращений субъектов ПДн.
  • Перечень информационных систем персональных данных (ИСПДн).
  • Документы, регламентирующие резервирование данных в ИСПДн.
  • Перечень используемых средств защиты информации.
  • Матрица доступа.
  • Модель угроз.
  • Документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  • Журнал учета машинных носителей ПДн.

Более подробный список можно посмотреть по ссылке .

  1. Помимо документации, Роскомнадзор обязательно проверит сайт компании . Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных или нет согласия на сбор ПДн, компанию могут оштрафовать.

Так, например, при мониторинге одного из сайтов было установлено, что на нем размещен справочник, содержащий ФИО и телефоны физлиц. Однако данные были размещены без согласия физлиц.

  1. Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных. К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции. Поэтому собирать подобную информацию в интернет-магазине не стоит, так как цель обработки персональных данных в этом случае – доставка покупателю товара и для этого явно не требуются сведения о здоровье.
  2. Если ваша компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта, компании для проведения е-mail-рассылок), следует обратить внимание на то, как составлен договор с этими компаниями.

Согласно ч. 3 ст. 6 № 152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Инспектор обязательно попросит копию договора.

Например, при проверке одного из банков выяснилось, что согласие на сбор персональных данных не содержит полного перечня данных, которые обрабатываются. И суд указал в решении следующее: «…на основании изложенного «Согласие на обработку персональных данных» содержит неполный перечень персональных данных, на обработку которых дается согласие субъекта персональных данных (например, о воинском учете, семейном положении, детях), что является нарушением ч. 4 ст. 9 Федерального закона «О персональных данных». Согласие субъекта персональных данных на обработку таких данных необходимо в целях соблюдения прав клиента, поскольку банк без согласия клиента фактически ведет обработку таких данных, которые впоследствии могут быть переданы, например, коллекторскому агентству (могут быть переданы сведения о детях, семье клиента и т. д.) и использованы им» (Постановление по делу № А60-1187/2015 от 10.06.2015. 17-й ААС).

  1. В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

Проверка условий хранения и обработки персональных данных работников относится к полномочиям Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Проверки Роскомнадзора требуют особого внимания работодателя, потому что нарушение закона в данной сфере влечет за собой серьезные наказания. В этой статье разберем порядок проведения такой проверки.

Из этой статьи вы узнаете:

  • каковы цели проверки Роскомнадзора;
  • чем отличаются виды проверок Роскомнадзора;
  • как оформляются результаты проверки Роскомнадзора и можно ли их оспорить.

Цели проверки Роскомнадзора

Роскомнадзор — федеральный орган исполнительной власти, который находится в подчинении Министерства связи и массовых коммуникаций РФ.

В ведении федеральной службы находится деятельность по оказанию услуг в области связи и телекоммуникаций. Данный вид деятельности нуждается в обязательном лицензировании. Соблюдение лицензионных условий и выявление лиц, оказывающих услуги без соответствующей лицензии, — основные цели проверок Роскомнадзора. Кроме того, в ходе инспекций со стороны данной федеральной службы выявляются нарушения законодательства в сфере связи: самовольная установка оборудования, нарушение правил проектирования, несоблюдение норм и правил эксплуатации сетей связи, предоставление не сертифицированных услуг и т.п.

Помимо сферы связи Роскомнадзор контролирует обработку персональных данных, а именно: соблюдение требований «О персональных данных» и других нормативных актов. Проверка Роскомнадзора позволяет выявить нарушения, затрагивающие интересы субъекта данных, и устранить их.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций обладает широкими полномочиями. Например, по результатам проверки Роскомнадзор имеет право принимать решения о приостановлении обработки персональных данных, требовать уточнения или уничтожения недостоверных данных, направлять заявления об аннулировании лицензии, привлекать нарушителей закона «О персональных данных» к административной ответственности.

Виды проверок Роскомнадзора

Можно выделить четыре основных вида проверок Роскомнадзора: плановые и внеплановые, а также выездные и документарные (Федеральный закон от 26 декабря 2008 г. ).

Плановые проверки осуществляются федеральной службой не чаще одного раза в три года. График инспекций составляется на год вперед и публикуется на сайте Роскомнадзора, а также в сводном плане проверок субъектов предпринимательства, публикуемом Генеральной прокуратурой РФ. Таким образом, даты проверки известны работодателю заранее. Кроме того, организация должна быть извещена о предстоящем приходе инспекции любым доступным способом не позднее чем за три рабочих дня.

Если с момента государственной регистрации работодателя или последней плановой проверки прошло более трех лет, федеральная служба имеет право включить организацию в график плановых проверок Роскомнадзора (п. 33 ).

Внеплановые проверки возможны только в том случае, если у федеральной службы есть веские основания для инспектирования. Согласно Административному регламенту такими основаниями считаются:

  • истечение срока исполнения выданного ранее предписания об устранении нарушений;
  • поступившие от граждан заявления о причинении или возникновении угрозы причинения вреда жизни и здоровью;
  • издание приказа о проведении внеплановой проверки на основании поручения Президента РФ, Правительства РФ или органов прокуратуры.

Внеплановая проверка Роскомнадзора должна быть согласована с органами прокуратуры. Федеральная служба должна уведомить работодателя об инспекции за три дня или за 24 часа в отдельных случаях, предусмотренных Административным регламентом.

О персональных данных: образце согласия на обработку персональных данных, читайте

Документарные проверки осуществляются за счет предоставления компанией перечня документов, необходимых для инспекции. Специалист Роскомнадзора не выезжает на место проверки.

Выездная проверка Роскомнадзора, напротив, требует присутствия инспектора на территории компании. Для успешного прохождения подобной проверки работодателю необходимо обеспечить не только наличие необходимых документов, но и соблюдение условий хранения персональных данных на материальных носителях.

Что касается проверки документации, то представители Роскомнадзора чаще всего обращают внимание на следующие документы, связанные с обработкой персональных данных: уведомления об обработке персональных данных и уведомления о прекращении их обработки; письменные согласия сотрудников на обработку личных сведений; документы, подтверждающие уничтожение данных по достижении цели их обработки; локальные акты работодателя по работе с персональными данными.

Отметим, что если представитель федеральной службы прибывает в организацию с целью инспекции, он должен предъявить работодателю заверенную копию приказа о проведении проверки Роскомнадзора и свое служебное удостоверение.

Срок проверки Роскомнадзора

Существует общее правило, по которому любая инспекция не может длиться больше 20 рабочих дней. Отдельно оговорены сроки проверки Роскомнадзора для субъектов малого бизнеса. Для малого предприятия он не может превышать 50 часов в год, а для микропредприятия — 15 часов.

Тем не менее, в определенных условиях Роскомнадзор имеет право продлить сроки проверки. Например, если в ходе инспекции возникает необходимость проведения продолжительных исследований или сложных экспертиз. Согласно закону продление сроков проверки возможно на период в 20 рабочих дней. Что касается малого бизнеса — продление возможно на срок не более 15 часов.

Отметим, что обязательным условием проверки Роскомнадзора является присутствие главного руководящего лица компании или другого уполномоченного представителя при проведении всех действий. Согласно , исключением может быть только проверка, вызванная возможным причинением вреда жизни или здоровью.

Оформление результатов проверки Роскомнадзора

Заключительным этапом проведения инспекции считается составление акта о результатах проверки. Документ оформляется в двух экземплярах, один из которых вручается работодателю, а другой остается у проверяющей стороны. Помимо копии акта руководителю организации под роспись передаются копии всех приложений. В случае обнаружения нарушений в ходе проверки, инспектор составляет предписание об их устранении и протокол административного правонарушения. В случае, когда работодатель намерен оспаривать результаты проверки Роскомнадзора, он может сделать это в административном или судебном порядке. Чтобы получить возможность обжаловать акт, по окончании проверки в него необходимо внести все возражения материального и процедурного характера, возникшие у работодателя.

Более подробно о видах проверок Роскомнадзора, сроках их проведения, процедурных правилах и порядке оформления результатов проверки, читайте в других материалах журнала «Кадровое дело»:



На тему хранения, обработки и защиты персональных данных по частоте возникновения уверенно лидирует следующий: «Может кто-нибудь адекватно пояснить, как распространяется сей ФЗ на обычную фирму, которая имеет локальную инсталляцию 1С и считает зарплату? ». А распространяется он одинаково на все организации, обрабатывающие персональные данные, независимо от их размера (даже ИП, который ведет в 1С расчеты с наемными работниками). Естественно, небольшая (и даже средняя) компания в здравом уме и трезвой памяти задастся вопросом: «А стоит ли овчинка выделки?»

Ведь согласно ежегодно публикуемому регулятором списку, процент проверяемых Роскомнадзором (РКН) организаций - капля в море по сравнению с тем их количеством, которое можно наблюдать в той же самой Москве, не говоря о России в целом. В связи с открытостью вопроса и спорностью ответов предлагаем разобраться, какова в действительности вероятность попадания под проверку РКН? Для ответа на поставленный вопрос вооружимся калькулятором и выполним элементарные расчеты на основании данных официальной статистики.

Согласно последнему отчету Роскомнадзора, который датируется 2013 годом, на территории России было проведено 2418 проверок, из которых 617 - внеплановых. Прибегая к нехитрым вычислениям, получаем, что 75 %проверок были плановыми и 25 % - внеплановыми. При этом наблюдались следующие цифры:

По какому количеству из этих 125 случаев (5 % от общего числа проверок по России) судом были приняты решения о привлечении к административной ответственности - в отчете Роскомнадзора не сказано. Однако приводится общая сумма штрафов, взысканная с нарушителей в бюджет РФ. В 2013 году она составила 147 тысяч 300 рублей. Таким образом, к административной ответственности были привлечены единицы, и это при том, что количество операторов ПДн в реестре Роскомнадзора - более 300 тысяч, а общее число операторов ПДн в России в разы, если не на порядок больше, чем количество операторов в реестре РКН.

Но даже если отталкиваться от примерных цифр реестра Роскомнадзора и количества проверок РКН, получаем следующее:

  • Среднее значение ежегодно осуществляемых РКН проверок не превышает 2500.
  • Количество операторов ПДн в реестре Роскомнадзора хоть и более 300 тысяч, округлим ровно до 300 тысяч.
Получаем приблизительный процент попадания оператора ПДн под проверку Роскомнадзора, который составляет 0,83 %.


Учитывая, что общее число операторов ПДн по России на самом деле в разы больше, полученный процент можем смело уменьшать как минимум в два раза, в результате чего получаем смешные 0,4 %.

Какое точное количество всех проверок по России будет выполнено в 2015 году, можно вычислить описанным выше способом. Согласно планам регулятора, Роскомнадзор в этом году планирует проверить 1267 организаций, что на 534 меньше, чем в 2013-м. Ориентируясь на количество внеплановых проверок за 2013 год, сделаем грубую накидку в виде 100 дополнительных проверок, которые, скажем, произойдут по определенной случайности, в результате чего получаем 717 внеплановых выездов. Суммируем все вместе и получаем 1984 проверки. В итоге процент попадания отдельно взятой российской организации под проверку РКН в нынешнем году составляет мизерные 0,66 %, и это очень приблизительное, грубо округленное в большую сторону значение. Фактический процент попадания будет однозначно меньше.

А для того, чтобы проверка прошла успешно, в случае, если на пороге появились проверяющие инспекторы РКН, будут не лишними следующие рекомендации:

Рекомендация 1 . Необходимо изначально разобраться, попадает ли ваша компания под статью ФЗ-152, где описаны случаи, когда организация вправе обрабатывать ПДн без отправки уведомления в Роскомнадзор. Если это именно ваш случай, достаточно подготовить справку, обосновывающую имеющиеся причины не уведомлять РКН. В остальных случаях необходимо подготовить и отправить «Уведомление об обработке персональных данных», поскольку это первое, на что обращают внимание инспекторы.

Компания, которая не отправила уведомление в РКН, привлекается к ответственности. Если уведомление было подано, РКН в ходе проверки ориентируется на него, сравнивая с имеющимися процессами обработки ПДн организации. В случае несоответствия действительности и наличия ошибок, организацию ждут штрафные санкции. Не допускайте подобных ситуаций. Помните, что подаваемое в Роскомнадзор уведомление не является статическим документом, оно постоянно дополняется. Причем уведомлений об изменениях должно быть ровно столько, сколько непосредственно самих изменений. Учтите: если уведомление было подано после того, как организация начала деятельность по обработке ПДн - это уже повод оштрафовать организацию.

Рекомендация 2 . Роскомнадзор не проверяет информационные системы персональных данных (ИСПДн), этими вопросами занимается ФСТЭК и ФСБ России. В задачи РКН в основном входит проверка документов, поэтому необходимо сосредоточиться на подготовке соответствующей документации. Уделите особое внимание качеству - оно должно быть на достаточно высоком уровне. Рекомендуем руководствоваться действующим законодательством и вести всю отчетность надлежащим образом.

Рекомендация 3 . Если грядущая проверка вызывает у вас опасения и вы чувствуете, что нуждаетесь в дополнительной помощи, обратитесь к услугам опытных консультантов. Они поддержат вас в трудную минуту, тем более что делать это никто не запрещает.

Рекомендация 4 . Подготовьте персонал к предстоящей проверке. Это могут быть тренинги, собрания - все что угодно. Ваши сотрудники должны знать, что говорить, как говорить, а о чем лучше не рассказывать. Помните, что каждому технологическому процессу должен соответствовать разработанный регламент, ознакомьте с ним своих коллег.

Шпаргалки не только в школе



При подготовке к встрече с проверяющими достаточно сложно удержать в голове все нюансы. Предлагаем воспользоваться специально подготовленной шпаргалкой, где описаны основные правила, установленные Роскомнадзором.

Срок представления вами документов, требуемых при документарной проверке 10 рабочих дней со дня получения мотивированного запроса
Срок представления пояснений по документарной проверке 10 рабочих дней
Количественный состав проверяющих при выездной проверке и их основания для проверки Не менее двух должностных лиц, в том числе должностное лицо, отвечающее за вопросы правового обеспечения.
Выездная проверка проводится только при предъявлении служебных удостоверений проверяющих лиц и копии соответствующего приказа руководителя органа Роскомнадзора
Срок и порядок уведомления о начале проведения выездной проверки Плановой проверки - Не позднее чем в течение трех рабочих дней до начала проведения проверки посредством направления копии приказа о проведении проверки почтовым отправлением с уведомлением о вручении или иным доступным способом
Внеплановой проверки - Не позднее чем за 24 часа до начала ее проведения любым доступным способом
Срок проведения выездной проверки 20 рабочих дней (продление возможно на срок не более 20 рабочих дней)
Порядок обжалования решений, вынесенных по результатам проверок Обжалование действий должностных лиц может осуществляться письменно либо устно в ходе личного приема. Жалоба должна быть рассмотрена в течение 30 дней, срок может быть дополнительно продлен еще на 30 дней

Подводя итоги, подчеркнем: бояться проверок Роскомнадзора точно не стоит, к ним просто нужно быть готовым. Судя по тому, что процент попадания организаций под проверку РКН по сравнению с общим количеством компаний по всей России просто ничтожен, завтра вряд ли придут именно к вам, особенно если вы индивидуальный предприниматель или маленькая компания. Но если даже вы станете обладателем письма счастья от РКН, попав в золотую десятку любимчиков Фортуны, поддаваться панике точно не стоит. Знание своих прав, соблюдение обязанностей, соответствие требованиям действующего законодательства и заблаговременная подготовка к возможной проверке станут лучшим лекарством от всех бед.

Похожие материалы

Подарки на новый год: идеи и пошаговые инструкции
Обувь

Подарки на новый год: идеи и пошаговые инструкции

Как вывести пятна от вишни и черешни
Обувь

Как вывести пятна от вишни и черешни

Вязаные носочки «Блуждающие полосы Как связать носки полосками из разных цветов
Обувь

Вязаные носочки «Блуждающие полосы Как связать носки полосками из разных цветов