Роскомнадзор план проверок на 2019 год - Komsindrom.ru

Роскомнадзор план проверок на 2019 год

Содержание

Утвержден новый порядок проведения проверок Роскомнадзором

13 февраля 2019 года было принято постановление правительства РФ № 146, которое устанавливает Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных (далее — Правила).

Данные правила определяют порядок проведения проверок индивидуальных предпринимателей и юридических лиц, а также порядок осуществления надзора за операторами персональных данных. Правила не распространяются на контроль и надзор за выполнением организационных и технических мер согласно ФЗ «О защите персональных данных», ст. 19 Закона.

Данные Правила определяют порядок действий:

— Кто попадает под плановые проверки;

— Основания проведения внеплановых проверок;

— Порядок проведения проверок;

— Порядок проведения документарных проверок;

— Порядок проведения выездных проверок;

— Порядок обжалования результатов проведения проверки;

Кто попадает под плановые проверки?

Запланированные проверки производятся в соответствии с ежегодными планами проверок, которые размещаются на официальных сайтах государственных органов.

Ознакомиться с планом проверок Роскомнадзора на 2019 год можно здесь.

Критерием для включения организации в план проверок является истечение 3 лет со дня государственной регистрации компании или проведения последней плановой проверки.

Правила также устанавливают возможность проведения плановых проверок не чаще 1 раза в 2 года в следующих случаях:

— Обработка персональных данных в государственных информационных системах ГИС (что такое ГИС смотреть здесь):

— При обработке биометрических персональных данных или специальных категорий персональных данных;

— При трансграничной передаче персональных данных в страны, не обеспечивающие адекватную защиту прав субъектов. Список таких стран.

— При обработке персональных данных по поручению иностранного государства.

Основания проведения внеплановых проверок

Правила содержат исчерпывающий перечень оснований для инициирования процедуры проведения внеплановой проверки:

— В случае неисполнения или частичного исполнения предписания Роскомнадзора;

— По результатам рассмотрения заявлений граждан, в случае установления факта нарушения прав граждан, определенных в ст. 14-17 ФЗ «О защите персональных данных»:

— Согласно поручению президента РФ или правительства РФ;

— Согласно требованию прокурора об осуществлении внеплановой проверки;

— По решению руководителя Роскомнадзора при проведении мероприятий по контролю за операторами без взаимодействия с ними;

Следует отметить, что проведение выездной проверки без согласования с прокуратурой невозможно, если проверка инициирована на основании жалоб граждан или по решению оператора в соответствии с результатами контрольных мероприятий.

Порядок проведения проверок

Проверки производятся в документарной (запрос документов) или выездной форме. Документарные проверки не могут быть внеплановыми. Все проверки проводятся на основании приказа, изданного должностным лицом.

Роскомнадзор должен уведомить оператора о проведении плановой проверки не позднее чем за 3 рабочих дня до даты ее начала, путем направления приказа заказным письмом или отправкой документа на адрес электронной почты.

При проведении внеплановой проверки Роскомнадзор должен уведомить оператора не менее чем за 24 часа до ее начала.

В отношении чего проводится проверка?

Проверка проводится в отношении документов и локальных актов оператора, указанных в ст. 18.1. ФЗ «О защите персональных данных», а также в отношении принимаемых мер оператором персональных данных.

Дополнительная информация по данному вопросу доступна в открытых источниках в интернете.

Также проверка производится в отношении деятельности оператора и информационных систем персональных данных оператора, касающихся обработки. В данном аспекте Роскомнадзор на основе выборки изучает, каким образом производятся сбор и хранение персональных данных, кому они передаются в ходе обработки. Проверяются сроки хранения, порядок и способы прекращения обработки данных.

Какой срок проведения проверки?

Срок проведения плановой проверки составляет 20 рабочих дней, может быть продлен еще на 20 рабочих дней.

Срок проведения внеплановой проверки составляет 10 рабочих дней, может быть продлен еще на 10 дней.

Если проверка проводится в отношении организации, которая осуществляет деятельность на территории нескольких субъектов, то для каждого филиала устанавливается свой срок, при этом общий срок проведения проверки для компании не может превышать 60 рабочих дней.

На основании чего сроки проверки продлеваются?

— Если в ходе проверки контролирующим органом будут получены данные, свидетельствующие о нарушении оператором закона о персональных данных;

— При возникновении обстоятельств непреодолимой силы в месте проведения проверки (пожар, затопления и т.д.);

— В случае непредоставления оператором документов, запрашиваемых контролирующим органом в ходе проверки;

— При затруднениях в связи с большим объемом проверяемых данных или сложностью технологических процессов обработки.

Порядок проведения документарных проверок

Документарная проверка проводится только при проведении плановой проверки посредством анализа запрашиваемых документов. Многие коллеги зачастую неправильно расценивают запросы, направленные оператору в рамках ФЗ «О порядке рассмотрения обращений граждан РФ» по существу вопросов, указанных в обращении с документарной проверкой. Еще раз обращаю внимание, что эти запросы не являются документарной проверкой!

Сроки проведения документарной проверки

В ходе проведения документарной проверки Роскомнадзору необходимо предоставлять документы в течение 5 рабочих дней с момента получения запроса. При этом, моментом получения таких документов будет являться дата с отметкой органа о получении. Таким образом, на оператора возлагается ответственность за соблюдение сроков, даже при отправке документов почтой. Однако, Правилами предусмотрена возможность предоставления документов в электронной форме, подписанных усиленной электронной цифровой подписью.

В случае непредоставления документов в указанный срок или пояснений по предоставленным документам в трёхдневный срок, Роскомнадзор в праве инициировать проведение выездной проверки.

Порядок проведения выездных проверок

Сразу скажу, что выездные проверки в отношении Операторов-физических лиц, не являющихся индивидуальными предпринимателями, не проводятся.

Выездная проверка должна начинаться:

— с предъявления служебного удостоверения должностного лица;

— c ознакомления с приказом о назначении выездной проверки и полномочиями должностных лиц, а также целями, задачами и основаниями проведения выездной проверки.

До начала проведения процедуры должностные лица должны предъявить письменный запрос о предоставлении документов и информации, необходимых для проверки. Предоставляемые документы должны быть заверены печатью организации и подписью руководителя организации. Если, какие-либо документы отсутствуют или их невозможно предоставить, то оператор обязан дать письменные пояснения по этому обстоятельству.

Важно оказывать содействие должностным лицам Роскомнадзора при проведении выездной проверки в т.ч. по предоставлению доступа к помещениям оператора или оборудованию, через которое может производится обработка персональных данных. В противном случае проверяющая сторона может составить акт о воспрепятствовании проведению выездной проверки. На основании такого акта могут быть привлечены сотрудники правоохранительных органов для оказания содействия в проведении проверки.

Сроки проведения выездной проверки

Срок для предоставления документов и информации не может составлять менее 2 рабочих дней со момента вручения запроса. Если полученных документов недостаточно для осуществления проверки, Роскомнадзор вправе запросить дополнительные сведения.

В случае воспрепятствования проведению выездной проверки, контролирующий орган может приостановить проведение проверки на срок не более одного месяца с момента составления акта. Если причины приостановки не устранены, то Роскомнадзор в праве составить акт о невозможности проведения проверки.

При таких обстоятельствах, проверяющий орган в праве провести плановую и внеплановую выездную проверку в течение 3 месяцев без предварительного уведомления оператора.

Результаты проведения проверки

Тут все просто. По результатам проверки устанавливается факт отсутствия нарушений либо их наличие с указанием нормативных актов, которые были нарушены. Эти обстоятельства фиксируются в акте проверки, который составляется в двух экземплярах. Если оператор уклоняется от подписания акта, то в нем делается соответствующая отметка, акт проверки направляется оператору на обычную или электронную почту в 10-дневный срок со дня подписания.

К акту должны быть приложены протоколы, справки, пояснения оператора и иные документы подтверждающие результаты проверки.

Спорный акт можно обжаловать во внесудебном порядке в вышестоящий орган Роскомнадзора, либо в судебном порядке с соблюдением правил подсудности.

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Как проводится проверка Роскомнадзора

Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.

Полномочия Роскомнадзора

У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:

  1. Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
  2. Надзор над предоставлением услуг в области связи.
  3. Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
  4. Ведение информационной системы, реестров операторов связи.
  5. Регистрация СМИ.
  6. Защита информации, являющейся государственной тайной.

Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.

Разновидности проверок

Роскомнадзор осуществляет следующие формы проверок:

  • Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
  • Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
  • Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
  • Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Читайте также:  Как оформить назначение на должность исполняющего обязанности директора ФГУП?

Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

Что именно будут проверять

Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

Роскомнадзор осуществляет контроль над следующими направлениями:

  • Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
  • Системы, осуществляющие обработку данных (ПК и программы).
  • Наличие локальных нормативных актов.
  • Исполнение положений этих актов.
  • Сайт организации.

Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.

Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:

  • Учредительная документация (ИНН, устав и прочее).
  • Уведомление о том, что фирма работает с ПД.
  • Перечень ПД, сбор которых осуществляется.
  • Перечень работников, у которых есть доступ к данным.
  • Приказ о допуске таких сотрудников к ПД.
  • Инструкции для специалистов, которые работают с данными.
  • Положение об ответственности сотрудников за разглашение ПД.
  • Документ об обработке ПД.
  • Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
  • Соглашение о неразглашении ПД.
  • Письменное согласие лиц на обработку.
  • Журналы инструктажей относительно мер безопасности.
  • Журналы учета носителей сведений.

Роскомнадзор также может затребовать и другие документы.

Продолжительность проверки

Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.

Особенности подготовки к проверке

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

  1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
  2. Проверка соответствия деятельности информации, прописанной в едином реестре.
  3. Назначение лица, ответственного за работу с ПД.
  4. Составление Политики фирмы в отношении обработки ПД.
  5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
  6. Проверка правильности хранения документов, ограниченности доступа к ним.
  7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Как осуществляется проверка

Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.

Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.

Результаты проверки

В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.

Можно ли обжаловать результаты проверки?

Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.

Роскомнадзор: что проверяет: план проверок

В последнее время Роскомнадзор прочно ассоциируется с запретами и скандалами вокруг интернет-площадок. Но это далеко не самая важная часть работы организации. С деятельностью Роскомнадзора могут столкнуться многие люди по своим рабочим обязанностям, поэтому будет нелишним знать, чем занимается этот орган.

Когда Роскомнадзор проводит плановые проверки

Основная деятельность Роскомназдора – это защита информации. С ней в той или иной степени работает каждое предприятие – любому работодателю нужна информация о сотрудниках, контрагентах и т.д. Чтобы эти файлы не использовались во вред их владельцам, назначается ревизия Роскомнадзора.

Инспекции бывают четырёх видов, основная из них – плановая. Они происходят строго по графику, который можно увидеть на сайте и подготовиться к ним заранее. Частота проверок – раз в 3 года, при работе с некоторыми категориями информации проверки бывают чаще – раз в 2 года. Если организация молодая, первая встреча с проверяющими состоится только через 3 (или 2) года после открытия.

Остальные виды проверок:

  • внеплановая;
  • документарная – высылаются документы по списку, может быть только плановой;
  • выездная – сотрудники приезжают на предприятие (планово или внепланово).

Чтобы проверить организацию, должны быть веские основания. Директор должен быть осведомлён о том, что именно послужило причиной внимания контролирующих органов.

Внеплановые проверки Роскомнадзора

Такие ревизии происходят, когда есть подозрения, что организация пользуется личной информацией людей в неблаговидных целях. Основания для неё – жалобы на спам, решение прокуратуры или неполное выполнение предписаний после предыдущей плановой проверки. О подобном мероприятии руководителя предупреждают за сутки.

Проверка Роскомнадзора: как подготовиться и избежать штрафов

По законодательству оператором персональных данных считается любая организация, которая взаимодействует с людьми и их документами, т.е. под это определение подпадают все предприятия, где в штате больше одного человека. Проверка касается не только юридических лиц, но и ИП, в которых есть хотя бы один наёмный сотрудник, и даже физических лиц, если они работают с чужими карточкам.

Важно! Если документы содержатся в порядке, то специальной подготовки к ревизии Роскомнадзора не потребуется.

Подготовку лучше начать с того, что изучить план проверок Роскомнадзора на 2019 год. Если в нём нет нужной организации, значит, в этом году можно не бояться. О плановой проверке дополнительно приходит предупреждение за 3 дня до неё, но на всякий случай лучше держать документы в порядке постоянно.

Проведение внутренней инспекции

Первый шаг – назначение ответственного. За обработку и безопасность персональных данных должны отвечать уполномоченные сотрудники. В зависимости от размера фирмы это может быть руководитель, бухгалтер или кадровик, который занимается этим в качестве дополнительной ответственности, либо специально нанятый для этого сотрудник или отдел.

Второй шаг – выяснение, с какими именно данными имеет дело предприятие. Ответственный за персональные данные должен знать, что именно он собирает и для чего. На основании этого руководитель составляет внутренние инструкции по работе с персональными данными и разрабатывает политику их обработки. С этими документами должны быть ознакомлены все сотрудники, для которых это важно. Последний шаг – уведомление Роскомнадзора, что предприятие работает с персональными данными людей.

Важно! Документарная проверка может быть только плановой, это основной вид инспекций для малых предприятий.

Все эти действия нужно сделать сразу, как только предприятие соберётся работать с персональными данными. Они позволят избежать обвинений в непрозрачности бизнеса, а также срочной подготовки к проверкам и бесконечных стрессов. Если документация ведётся аккуратно, то инспекция не отнимет много времени и нервов.

Сотрудники должны быть готовы

Сотрудники учреждения должны знать, кто именно отвечает за персональные данные. Ответственный должен регулярно отчитываться руководству о том, как используется информация. Также он должен обеспечить сохранность данных – бумажные документы должны лежать в сейфах с замками, а электронные – в файлах без общего доступа.

Следует предупредить сотрудников, что во время проверок Роскомназдора по плану нужно вести себя спокойно. Излишняя нервозность, неаккуратность в документах могут навести проверяющих на мысль, что дела в организации или отделе идут не так хорошо, как хочется показать.

Сотрудники и инспекция

Роскомнадзор: что проверяет и на что обращает внимание

В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.

При плановой ревизии важно:

  • какие именно данные обрабатывает компания;
  • кто отвечает за обработку;
  • где можно ознакомиться с политикой компании (в том числе на сайте);
  • кому передаются данные;
  • как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
  • как хранятся документы, и как контролируется доступ в этих помещениях;
  • насколько всё перечисленное соответствует заявленному в документах.

Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.

Что такое персональные данные

Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.

Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.

Читайте также:  Каким образом оформить третьего сотрудника на должность, по которой уже есть два сотрудника в декретных отпусках?

Важно! Если согласия нет, могут последовать наказания – штрафы, блокировка сайта, приостановка работы, отзыв лицензии.

Все должно храниться в сейфе

Как проходит проверка Роскомнадзора по защите персональных данных

Программа предусматривает поэтапное взаимодействие:

  • предприятие получает уведомление (при плановой проверке – за 3 дня, при внеплановой – за сутки), в нём указывается дата проведения и номер приказа;
  • при документарной проверке (только плановой) высылается запрос и перечень документов, которые нужно представить. Руководитель высылает копии, заверенные своей подписью;
  • при выездной проверке (плановой или внеплановой, может следовать за документарной, если выявлены недочёты) приезжают два инспектора, которые проверяют соответствие документов реальному положению дел;
  • контролирующий орган выносит решение и даёт предписания;
  • предприятие выполняет предписания.

Важно! Если предписания выполнены в срок, предприятие продолжает свою деятельность без взысканий.

Где публикуется реестр Роскомнадзора

Чтобы руководители могли заранее узнать, когда придёт Роскомнадзор, график проверок публикуется на сайте. Списки проверяемых компаний составляются на каждый год и хранятся в течение длительного времени, так что можно поднять информацию за прошедшие года.

Можно ли обжаловать результаты

Если проверка была проведена не по правилам, то руководитель предприятия может обжаловать её результаты. Важно обратить внимание на сроки уведомления, аккредитацию инспекторов, соблюдение ими правил проверки. Если что-то из этого было нарушено, а предприятие пострадало, составить возражение можно в течение 15 дней.

Не нужно бояться инспекции

С персональной информацией работают все – образование, здравоохранение, общепит, и даже небольшое ИП с одним сотрудником. Утечка личных карточек может нанести серьёзный вред, и именно на его предотвращение направлена инспекция Роскомнадзора.

Проверка Роскомнадзора на 2019 год – что проверяют, как подготовиться, виды проверок

Здравствуйте! Сегодня мы обсудим еще один вид проверок, затрагивающий каждого работодателя, а именно инспекции Роскомнадзора. О том, как они проходят, и как к ним подготовиться, читайте в нашей статье.

Содержание

Виды проверок

Процедура проверки во многом зависит от ее вида. Основные типы проверок:

  1. Плановые. Их график составляется заранее, еще в конце предыдущего года, и публикуется на сайте. Кроме того, проверяемого предупредят письмом или лично как минимум за три дня до начала инспекции.
  2. Внеплановые. Они инициируются после поступления жалоб от недовольных клиентов или даже от доноса конкурента. В зависимости от серьезности предполагаемого нарушения о проверке могут предупредить за сутки, а могут и не предупредить вовсе.
  3. Документарные. Проверяется пакет документов, который по запросу предоставляется в контролирующий орган.
  4. Выездные. Осматривается территория предприятия.

Что проверяет Роскомнадзор

Далеко не все знают, за какую область отвечает Роскомнадзор, или иначе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Роскомнадзор контролирует работу операторов любых персональных данных (сотрудников или клиентов).

Подконтрольными Роскомнадзору субъектами выступают все предприятия, большинство ИП и даже некоторые граждане, которые вне зависимости от объема, обрабатывают и собирают информацию о клиентах, сотрудниках и других гражданах.

У вас есть наемные работники? Если ответ положительный, то будьте уверены, вы уже точно попадаете под проверки Роскомнадзора по персональным данным.

Трудовой Кодекс РФ дает нам такое толкование термина: персональные данные сведения, которые необходимо передать работодателю для осуществления служебных обязанностей. Например , это паспортные данные, номер телефона, адрес и даже факты биографии (образование, опыт работы, семейное положение).

  1. Документы, включающие в себя персональные данные. Если проверка выездная – еще и условия их хранения, организацию места хранения. Собственно хранение данных на предприятии может быть физическим или электронным, Роскомнадзор проверяет оба метода;
  2. Обрабатывающие их системы (компьютеры и программы);
  3. Внутренние нормативные акты, касающиеся обработки и хранения персональных данных, и их практическое соблюдение;
  4. Сайт компании в интернете. Например, предприятие могут оштрафовать, если на его сайте производится сбор персональных данных (для регистрации нужно вводить свое имя, номер телефона), но не размещены подробности дальнейшей работы компании с персональными данными.

Единого перечня документов, которые подвергаются проверке, не существует, но приблизительный список такой:

  • Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав общества и прочие);
  • Копия уведомления о намерении осуществлять работу с персональными данными (можно заменить выпиской из реестра операторов);
  • Список персональных данных, собираемых и охраняемых вашей компанией;
  • Список сотрудников, имеющих доступ к персональным данным, вместе с приказом об их допуске;
  • Инструкции сотрудников, которые в ходе своей трудовой деятельности обрабатывают персональные данные и обеспечивают информационную защиту;
  • Положение об ответственности работников за разглашение персональных данных и нарушение запрета доступа к ним;
  • Положения о коммерческой тайне, о защите персональных данных, хранящихся на предприятии;
  • Положения об особенностях обработки персональных данных, в том числе их обезличивания;
  • Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности);
  • Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи сотрудников по требованиям информационной безопасности);
  • Соглашения о неразглашении персональных данных, подписанные всеми сотрудниками;
  • Бланки согласия граждан на обработку их персональных данных;
  • Журналы инструктажей сотрудников по вопросам информационной безопасности и прочих внутренних контрольных мероприятий режима защиты;
  • Журналы учета всех носителей информации, а также средств защиты информационных систем.

Как подготовиться к проверке Роскомнадзора

Перед любой проверкой важна правильная подготовка. Давайте рассмотрим, какие мероприятия помогут не ударить в грязь лицом перед инспектором.

Проверка Роскомнадзора одна из самых сложных в плане подготовки. Данные – вещь нематериальная, для обеспечения безопасности их недостаточно положить в сейф под ключ. Нужно привести в порядок огромный пакет документов, и не удивительно, что сделать это самостоятельно, не упустив ничего из виду, задача не из легких.

Крупные операторы обычно не скупятся на содержание в штате фирмы специально обученного сотрудника, который следил бы за всеми бумагами, информационными системами и руководил подготовкой к проверке.

Для предприятий поменьше есть другой, но тоже недешевый вариант – нанять стороннего эксперта. Он поможет единожды систематизировать хранение и обработку персональных данных на фирме.

Если эти два варианта предпринимателю не по карману, придется все делать собственными силами.

Основной план подготовительных мероприятий выглядит так:

  1. Убедитесь, что ранее вы подавали в Роскомнадзор уведомление об обработке персональных данных. Подавать его нужно прежде, чем начинать деятельность, и опоздание уже становится поводом для штрафа. На практике Роскомнадзору почти всегда удается доказать, что каждый работодатель является оператором персональных данных. Какие бы факты он ни приводил в доказательство обратного.
  2. Проверьте, соответствует ли ваша текущая деятельность указанному в едином реестре. Уточните содержание заявления, которое вы ранее подавали в Роскомнадзор и при необходимости внесите в него изменения. Необходимую для этого форму можно скачать на сайте Роскомнадзора. Именно несоответствие этих данных и фактической деятельности выступает самой распространенной причиной штрафа от Роскомнадзора. Например, даже назначение другого ответственного за обработку персональных данных сотрудника уже становится основанием для штрафа.
  3. Назначьте ответственного за обработку персональных данных, вместе с ним приступайте к подготовке всех документов, сопровождающих путь персональных данных от сбора, до хранения и уничтожения.
  4. Обязательно оформите «Политику компании в отношении обработки персональных данных». Вы можете дать документу другое название, но суть в том, что он станет основополагающим сводом правил и инструкций в интересующем Роскомнадзор вопросе.
  5. Подготовьте к проверке всех сотрудников. Ознакомьте их с документами по работе с персональными данными. Установите четкие правила поведения с инспекторами, если ожидается выездная проверка. Очень часто у проверяющих возникают вопросы к простым работникам. Отработайте с ними тактику «глухой защиты» – ничего не говорить, ничего не подписывать без присутствия руководителя. Вы действительно имеете на это право.
  6. Проверьте, как и где вы храните бумаги, особенно ксерокопии паспортов, кто имеет к ним доступ.
  7. Проверьте материально-техническое оснащение офиса: замки на важных помещениях, наличие сейфов для документов.
  8. Воспользуйтесь специальными онлайн-сервисами для подготовки документов. Они бывают совсем бесплатными или коммерческими, но в любом случае дешевле офлайн специалиста. Особенно если вы практически не знакомы с законодательством о персональных данных, сервисы дадут исключительно актуальные подсказки по подготовке.

Как проходит проверка Роскомнадзора

Начинается проверка с уведомления проверяемого. В нем указываются сроки и реквизиты инициирующего приказа. Прилагаются, кроме того, копия самого приказа, план контрольных мероприятий.

Сначала проверяют документы. На предприятие отправляется запрос, на который необходимо ответить в течение 10 дней. Предприниматель предоставляет копии документов, заверенные подписью и печатью. Свидетельство нотариуса не требуется. Если в документах содержится вся необходимая для разъяснения ситуации информация, то до выездной инспекции дело не дойдет.

Но если в бумагах будут обнаружены ошибки или у инспектора останутся вопросы, то тогда он лично навестит предпринимателя. Посетителей должно быть минимум двое, они обязаны предъявить удостоверения и копии приказа о проведении проверки.

Длится выездная проверка 20 рабочих дней, и еще на 20 дней она может быть продлена, если требуется провести дополнительные исследования.

Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки.
Результат проверки можно обжаловать. Сделать это можно как письменно, так и устно (например, в ходе личного приема или по телефону – подробности можно найти на сайте территориального органа Роскомнадзора). Рассматривается жалоба в течение месяца.

Советы предпринимателям

Во время проверки:

  1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
  2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
  3. Не паникуйте;
  4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
  5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
  6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
  7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.
Читайте также:  Как рассчитать дополнительные дни отпуска за вредные условия труда?

Читаем планы проверок Роскомнадзора

Новый рабочий год в нашем агентстве, в силу специфики деятельности, традиционно начинается с тщательного изучения плана проверок Роскомнадзора. В этот раз он начался почти невероятно. Впервые за последнее время Роскомнадзор не вывесил до начала года план проверок на своем сайте. И не только проверок в отношении персональных данных, не очень элегантно выведенных законодателями с 1 сентября 2015 года из-под регулирования Федеральным законом 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», и не требующих теперь согласования с прокуратурой (об этом я писал здесь), но и сводного плана плановых (извините за тавтологию) проверок ведомства на 2016 год.

Вместо сводного плана на первой странице официального сайта надзорного органа 31 декабря появилась короткая, но весьма интересная публикация под заголовком «О планировании контрольно-надзорной деятельности в области персональных данных на 2016 год», в которой сообщалось, что «Роскомнадзором завершено планирование контрольно-надзорной деятельности в области персональных данных. С учетом изменений, внесенных в действующее законодательство Российской Федерации, процесс планирования опирался на анализ деятельности операторов с учетом правоприменительной практики, сложившейся с 1 сентября 2015г. В общей сложности на 2016 год запланировано более 1000 плановых проверок и около 2000 мероприятий систематического наблюдения персональных данных… В ходе указанных проверок в том числе будет осуществляться контроль за исполнением операторами требований по локализации баз данных на территории Российской Федерации». Далее указывается, что «По состоянию на 31 декабря 2015 года планы территориальных органов Роскомнадзора размещены на официальных сайтах территориальных органов Роскомнадзора в соответствии с требованиями административного регламента ведомства», куда всем желающим, видимо, и надо заглянуть, чтобы узнать о перспективах увидеть представителей надзора в гостях.

Что ж, мы люди привычные к хождению не простыми путями, посмотрим сайты территориальных органов, в частности, управлений по ЦФО, СЗФО, УрФО и Вологодской области.

Первым из гигантов, попадающих под раздачу, стала корпорация Microsoft, заодно с ней будут проверены HP и Samsung. Почему именно эти две компании, знает только автор задумки, но в отношении Microsoft, которая активно и давно сотрудничает с правительствами и спецслужбами по всему миру, в том числе и в России, раскрывая свои исходные коды и предоставляя их для сертификации по требованиям безопасности, такое решение заставляет задуматься. Корейским вендорам, похоже, спонсорство на международной конференции Роскомнадзора и громкие публичные заявления о переносе всего в Россию тоже не очень помогло.

Следующая и самая большая по численности группа – российские дочки зарубежных банков. Здесь команда подобралась более, чем достойная: Citibank, HSBC, «Райффайзен», «ЮниКредит», «Интеза», «РОСБАНК», а заодно с ними – и «Московский кредитный банк», «Национальное бюро кредитных историй» и форекс-брокер «Альпари». В отношении дочек зарубежных банков просматривается интересная тема – будет ли Роскомнадзор считать сведения о движении средств по счету персональными данными, или согласится с тем, что эти сведения составляют иную охраняемую законом категорию – банковскую тайну. Если это персональные данные, использование АБС и ДБО материнских банков невозможно в принципе, исходя из требований 242-ФЗ. Если нет – первичная фиксация данных клиентов осуществляется в России, а далее они на законном основании выгружаются во «вторичные базы данных» за рубежом, и все идет в рамках закона. Вот она, могучая сила трактовки, о которой столько уже понаписали блогеры! Постараюсь этот вопрос обсудить на круглом столе с регуляторами в Магнитогорске – тема увлекательнейшая.

Третья группа – зарубежные производители косметики, физически представленные в России и так любящие программы лояльности и рекламные рассылки потребителям. Набор почти полный: «Амвэй», «Эйвон Бьюти», «Ив Роше Восток», «Мэри Кэй», «Орифлэйм» и попавшая в достойную компанию отечественная «ФАБЕРЛИК» (к вопросу о целесообразности иноязычных названий). Здесь, я так понимаю, центральным вопросом будет местонахождение вожделенных CRM-систем и наличие доказываемого согласия на продвижение товаров путем прямых контактов по каналам связи (тема, хорошо знакомая получателям ежедневных смс-рассылок о 50-процентных скидках сами-знаете-от-кого).

Следующая группа – продавцы автомобилей и ретейл. В первой подгруппе – тоже цвет мировой промышленности и российских дилеров: «Крайслер», «Фольксваген», и, для полного комплекта, «Рольф». Попадают ли персональные данные счастливых обладателей новых авто за рубеж, и если да – то как? Хороший вопрос.

Ретейл: «Перекресток», «ИКС 5 Ритейл Групп», близко к ним находится с точки зрения возможных проблем с законом «Макдоналдс».

Столпы туризма: «Пегас Туристик» (главное направление до недавнего времени – Турция), «ФорСи» (российское подразделение Four Seasons TravelNotes), «Островок.Ру» (отечественная система бронирования отелей), «Сирена-Трэвел» (отечественная система бронирования авиабилетов и не только), «Азимут Хотелс Компани» (международная сеть отелей), «Гелиопарк» (российская сеть отелей). Здесь тоже все понятно. Трансграничка, неадекватные страны, Турция и Египет. Согласия субъектов, в том числе не являющихся стороной договора, но получающих услуги (члены семьи, большие компании по интересам, «корпоративный туризм»). Программы лояльности, скидки, поручения многочисленным контрагентам со всего мира (бронирование, трансферы, гиды и прочее), часть 3 статьи 6 152-ФЗ в полном объеме. Сказка для знающего проверяющего.

Дошли, наконец, руки, и до порталов по поиску работы и подбору персонала «СуперДжоб» и «Хэдхантер». Здесь проверяющих тоже ждет масса интересного, если углубятся. Одни лицензионные соглашения чего стоят. Ну, и где хостятся базы, если поискать?

Негосударственные пенсионные фонды: «Согласие», «Лукойл-Гарант». Наряду с коллекторами это область бизнеса, вызывающая постоянные претензии как субъектов, так и разного рода органов надзора – от ПФР до Роскомнадзора и Роспотребнадзора.

Из российских интернет-компаний в план попал «Суп Медиа» группы «Рамблер». Не все однозначно, будем смотреть.

Очень большие интернет-магазины «Озон» («Интернет Решения»), «Купишуз» (она же – Lamoda), «Приват Трэйд» (она же — KupiVip.ru c сайтами для Казахстана и Беларуси), «Вайлдберриз» (брендовая одежда). Регистрация пользователей, доставка товара, партнеры, контрагенты, опять же – программы лояльности, сроки хранения данных (а что здесь персональные данные?), неизбыточность хранимых данных, процедура уничтожения. Тоже темы глубокие.

ООО «Телеконтакт» — крупнейший колл-центр с подразделениями в Беларуси и на Украине. Тоже очень интересно, особенно учитывая отношение Роскомнадзора к обработчикам. Поручения на обработку и адекватность принятых мер защиты напрашиваются сами собой, но вот неподведомственность ст.19 152-ФЗ Роскомнадзору несколько смущает. Кстати, это не единственный колл-центр, который будет подвержен проверке по персональным данным. Есть они и в планах других территориальных органов.

В целом план ЦФО находится в русле заявлений руководителей надзорного ведомства о критериях выбора объектов плановых проверок и направленности контрольной деятельности. Результаты будет очень интересно посмотреть.

В СЗФО все гораздо сложнее и запутаннее. Планов несколько.

Но зато в «Плане деятельности Управления Роскомнадзора по Северо-Западному федеральному округу в 2016 году» картина совсем иная. Там два интересных раздела: «3.4. Осуществление контроля за соблюдением обязательных требований в сфере защиты прав субъектов персональных данных», в котором предусмотрено 20 мероприятий систематического наблюдения (об этом направлении деятельности надо писать отдельно, может быть, несколько позже удастся) и «Организация и проведение государственного контроля (надзора) за соответствием деятельности операторов, осуществляющих обработку персональных данных, являющихся государственными органами, юридическими и физическими лицами, требованиям законодательства Российской Федерации в области персональных данных». В этом разделе четкой линии и направленности, как в ЦФО, я не увидел. Несколько вузов и других образовательных учреждений, банк «Санкт-Петербург», «Несте» (сеть заправок с финским участием), «Госзнак», кабельная сеть, колл-центр, пара предприятий ЖКХ.

Из интересного и вписывающегося в концепцию – питерское подразделение «Бритиш Американ Тобакко», «В Контакте» (так в плане), «Ти-Джей Трэвел», «Кронвелл Отель Менеджмент», «Бентли» (ох, уж эти автолюбители!), «Единый визовый центр», «Две палочки» (привет «Макдоналдсу»!), «Негосударственный пенсионный фонд Оборонно-промышленного комплекса». В целом довольно скучно, учитывая резидентов Питера и окрестностей.

Зато про планирование в Вологодской области читал, как детектив. Изначально план был утвержден 29 октября прошлого года, и в нем 13 из 17 проверок затрагивали тему персональных данных. Руководителем территориального органа было приказано отправить план на согласование в прокуратуру. 25 ноября его же приказом № 168 все проверки по персональным данным были… из плана исключены: 10 просто удалены, в оставшихся трех тема была изменена на выполнение лицензионных условий в области связи и использование радиочастотного спектра. Итого в плане осталось 7 проверок, и все не про персональные данные. В обоснование этих действий в приказе указаны любимый 242-ФЗ, а также 294-ФЗ, положение о территориальном управлении и письмо Генеральной прокуратуры от 29.10.2015 № 76/2-547-2015. Тоже тема для анализа.

В УрФО две проверки муниципалов. По теме «проверка соблюдения обязательных требований в сфере обработки персональных данных» территориальное управление будет проверять Администрацию городского округа Верхняя Пышма вместе с территориальными управлениями Федеральной службы государственной регистрации, кадастра и картографии и Федеральной службы по ветеринарному и фитосанитарному надзору, а Администрацию Артемовского городского округа – вместе с Минстроем, Минприродресурсов области, автодорожным надзором, тем же ветеринарным и фитонадзором, а также Роспотребнадзором. Без комментариев. Среди не-госов в план первоначально были включены потребительский кооператив «Народный капитал», негосударственные образовательные учреждения, «ЕВРАЗ Качканарский ГОК», ФГУП «Электрохимприбор», больница, местные филиалы «Райффайзенбанка» и «Активкапитал Банка». А 2 декабря приказом руководителя 10 субъектов проверок по теме персональных данных из плана были исключены без объяснения причин.

Если Алексей Лукацкий прав в своем предположении о том, что и порядок контроля и надзора в отношении персональных данных, а также свои полномочия Роскомнадзор будет регулировать самостоятельно, нас ждут веселые времена. В полном соответствии с точкой зрения представителей ведомства: «Практика правоприменения покажет. Если надо, подкорректируем».

И в заключение, в порядке пожеланий. Уважаемые господа чиновники. Нельзя же так мучить субъектов надзора. Планы в форматах pdf (не допускающем поиск), абсолютно нечитаемом кривом tiff (оба формата требуют поворота страниц в разные стороны), иногда – Word и Excel. Нормализуйте форматы, пожалуйста.

Ссылка на основную публикацию