Как проводится проверка Роскомнадзора

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как проводится проверка Роскомнадзора». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.

Уведомление оператора персональных данных

Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:

• уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
• уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
• персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

Что проверяет Роскомнадзор?

Предметом государственного контроля являются:

1. Документы, характер информации в которых предполагает или допускает включение в них персональных данных.
2. Проверка сведений, содержащихся в уведомлении об обработке ПДн:
   • договоры с внешними организациями,
   • проездные документы и бронирование гостиниц при организации командировок,
   • добровольное медицинское страхование,
   • обеспечение телефонной связью,
   • заработная плата сотрудникам,
   • изготовление визитных карточек.

   Разновидности проверок

   Роскомнадзор осуществляет следующие формы проверок:

   • Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
   • Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
   • Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
   • Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.

   Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

   Какие документы по персональным данным должны быть в организации

   Типовой перечень документов по персональным данным (для Роскомнадзора и не только) в каждой организации следующий:

   • положение о работе с персданными сотрудников;
   • политика защиты и обработки персданных;
   • уведомление в территориальный орган Роскомнадзора о намерении осуществлять обработку ПД;
   • приказ о назначении ответственного за работу с персданными;
   • регламент допуска сотрудников к обработке ПД;
   • обязательство о неразглашении персданных (отдельным документом или в виде дополнительного соглашения);
   • согласие сотрудников на обработку ПД;
   • уведомление в Роскомнадзор о трансграничной передаче ПД (если таковая есть);
   • уведомление в Роскомнадзор об изменении сведений, содержавшихся в предыдущих уведомлениях;
   • акт об уничтожении персданных;
   • акт об оценке возможного вреда субъектам персданных;
   • выгрузка из журнала регистрации событий в системе персданных;
   • правила и план внутреннего контроля соответствия обработки ПД;
   • протоколы внутренних проверок условий обработки ПД (один раз в три года).

   Виды проверок соблюдения законодательства о персональных данных

   Ключевые моменты в положении о проверках, которые нужно учитывать предприятиям:

   1. Роскомнадзор проверяет две ключевые составляющие деятельности операторов ПД (п. 7 Положения по постановлению № 1046):
   • деятельность по обработке персональных данных самого оператора и третьих лиц, которые выполняют его поручения;
   • результаты деятельности оператора по разработке документов и локальных нормативов, направленных на обеспечение требований по ч. 1 ст. 18.1 Закона № 152-ФЗ.
   1. Предусмотрены профилактические мероприятия (п. 13 Положения), контрольно-надзорные мероприятия (п. 42 Положения).

   Указанная классификация основана на перечнях профилактических и контрольно-надзорных мероприятий, приведенных, соответственно, в ст. 45 и 56 Закона № 248-ФЗ. Профилактические мероприятия — это «мягкие» варианты взаимодействия регулятора и контролируемого лица, контрольно-надзорные — более «строгие». Возможно, что по итогам профилактического мероприятия будет начато контрольно-надзорное (ч. 4 ст. 45 Закона № 248-ФЗ).

   1. Частота и типы профилактических и контрольно-надзорных мероприятий привязаны к категории риска, присвоенной хозяйствующему субъекту (п. 10 Положения).

   Проверочные листы Роскомнадзора

   В целях уменьшения рисков нарушений Роскомнадзор может направлять предприятиям проверочные листы с вопросами, ответы на которые могут свидетельствовать о несоблюдении требований законодательства о персональных данных (ст. 53 Закона № 248-ФЗ. На практике такие листы могут использоваться непосредственно при проверках и, соответственно, предварительное ознакомление с перечнем вопросов, приведенных там, поможет предприятию лучше подготовиться к проверке, как и устранить нарушения. Действующая форма проверочного листа по проверкам Роскомнадзора утверждена приказом ведомства от 24.12.2021 № 253.

   Положением № 1046 определена особая категория мероприятий с участием Роскомнадзора и хозяйствующих субъектов — мероприятия без взаимодействия ведомства с контролируемыми лицами. На такие мероприятия не распространяется действие Закона № 248-ФЗ (п. 6 Положения). Представлены они могут быть (п. 59 Положения):

   • наблюдением за соблюдением требований при публикации сведений в интернете;
   • наблюдением за соблюдением требований с помощью анализа данных о деятельности контролируемого лица, имеющихся в распоряжении Роскомнадзора.

   Предмет проверки Роскомнадзора

   Сферы деятельности юридических лиц и ИП, надзор в которых осуществляет Роскомнадзор, перечислены в п. 5 положения, утвержденного постановлением Правительства РФ «О Федеральной…» от 16.03.2009 № 228. В соответствии с ним Роскомнадзор проводит проверки за соблюдением законодательства в различных сферах, в частности, таких как:

   • деятельность средств массовой информации, телеканалов, периодических печатных, электронных и других изданий;
   • информатизация и защита информации;
   • организация и работа радио и телевещания;
   • связь и массовые коммуникации;
   • организация и деятельность почтовых операторов;
   • обработка и защита персональных данных граждан.

   Регламент проведения проверок обращения с персданными

   Правительство РФ утвердило правила проверок организаций на предмет того, не нарушают ли они закон при обработке персональных данных своих сотрудников и клиентов-физлиц.

   Объект проверки

   Проверять будут юрлиц и ИП, являющихся операторами персданных.

   Таким образом, контролю подвергнут работодателей, поскольку они являются операторами персданных.

   Виды проверок

   Ревизии могут проходить в виде:

   1. плановых проверок – выездных и документарных;
   2. внеплановых проверок – выездных;
   3. мероприятий без взаимодействия инспекторов с операторами.

   Плановые проверки

   Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.

   Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.

   В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.

   Внеплановые проверки

   Проводятся на основании:

   • обращений граждан;
   • по требованию прокурора;
   • в случае неисполнения оператором предписания.

   Уведомление компании

   Роскомнадзор должен уведомить фирму:

   • о проведении плановой проверки – не позднее чем за 3 рабочих дня:
   • о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.

   Способ уведомления – направление копии приказа о проведении проверки (либо-либо):

   • заказным письмом с уведомлением о вручении;
   • электронным документом с усиленной квалифицированной электронной подписью на электронную почту.

   Что будут проверять

   Инспекторы проверят:

   • документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 закона о персданных;
   • обработку персданных на предмет ее соответствия установленным требованиям;
   • информационные системы персданных.

   Положение о порядке обработки персональных данных необходимо

   Трудовая инспекция выдала обществу предписание устранить нарушения трудовых прав работников.

   Среди них – принять локальный акт, устанавливающий порядок обработки персональных данных сотрудников предприятия.

   Общество оспорило предписание, сославшись на то, что вывод о нарушении трудовых прав работников является надуманным. В организации числится лишь один работник, и он же является директором ООО. Выходит, что трудовая инспекция одновременно и защищает права работника, и привлекает его же к ответственности, что недопустимо.

   Суд не внял этому аргументу и решил, что в соответствии со ст. 86‒88 ТК РФ у каждого работодателя должен иметься локальный нормативный акт о порядке обработки персональных данных работников, а также об их правах и обязанностях в этой области.

   Поэтому у государственного инспектора труда имелись основания для выдачи предписания.

   Данные клиентов из Интернета можно использовать без уведомления Роскомнадзора

   Роскомнадзор провел проверку в компании, выявил несколько нарушений при работе с персданными и выдал предписание об устранении нарушений.
   Компания оспорила это предписание и выиграла суд по всем пунктам.
   Почему – читайте в таблице.

   ТАБЛИЦА: «Пять законных способов работы с персданными»

   Действия компании по работе с персональными данными	Позиция Роскомнадзора	Позиция компании и судов
   При оформлении заказа на сайте интернет-магазина клиенты указывают свои персданные, необходимые для доставки заказа. Данные сведения компания обрабатывает в информационной системе «1С:Предприятия (Магазины)»	Компания обязана уведомлять Роскомнадзор об обработке персональных данных такими способами, поскольку она проводится с использованием информационных систем. Поэтому не подпадает под исключения, предусмотренные ч. 2 ст. 22 закона о персональных данных	Частью 2 ст. 22 закона о персданных № 152-ФЗ прямо предусмотрен перечень из 9 случаев, когда фирма освобождается от обязанности представлять в Роскомнадзор уведомление об обработке персданных. Одним из таких случаев (п. 2) является обработка личных данных, полученных оператором в связи с заключением договора, стороной которого является субъект этих данных, если они не распространяются и не предоставляются третьим лицам без согласия субъекта и используются только оператором. Способ, которым обрабатываются персданные, – без использования средств автоматизации или с использованием информационных систем – не имеет правового значения. Поэтому в силу п. 1 ч. 2 ст. 22 закона № 152-ФЗ о персданных уведомлять Роскомнадзор в данном случае не требуется
   Используется система «1С:Зарплата и управление персоналом 8»	Указанные системы используются компанией в рамках трудовых договоров, заключенных с работниками. При этом абз. 17 ст. 22 ТК РФ закреплена обязанность работодателя выплачивать работникам зарплату в полном размере и в установленные сроки. Статья 91 ТК РФ обязывает работодателя вести учет времени, отработанного каждым сотрудником. Таким образом, использование указанных систем подпадает под исключение, предусмотренное п. 1 ч. 2 ст. 22 закона о персональных данных, то есть обработка таких данных осуществляется в соответствии с трудовым законодательством
   Используется система БСУВ «Биометрическая система учета времени»
   В ходе подбора персонала компания размещает вакансии на сайтах в сети Интернет, а полученные резюме в электронном виде хранит на рабочих компьютерах в отделе подбора персонала	Компания обязана уведомлять Роскомнадзор об обработке персданных таким способом, так как работа по подбору персонала не регулируется трудовым законодательством. В связи с этим обработка личных данных не подпадает под исключения ч. 2 ст. 22 закона о персданных	Трудовые и иные непосредственно связанные с ними отношения регулируются не только кодексом, но и другими нормативными актами (ст. 5 ТК РФ). Правоотношения между кандидатом и будущим работником регулируются законом о занятости населения. Из него следует, что работодатели должны содействовать проведению госполитики занятости населения, оказывая помощь в трудоустройстве. При этом они вправе принимать на работу граждан, непосредственно обратившихся к ним, на равных основаниях с теми, кто имеет направление органов службы занятости (ч. 1, ч. 3.1 ст. 25, ч. 1 ст. 26). Таким образом, работодатель вправе обрабатывать персданные кандидатов на вакансии и сохранять их резюме, как в бумажном, так и в электронном виде, формируя базу соискателей при наличии письменного согласия кандидатов

   Что такое персональные данные

   Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.

   Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.

   Важно! Если согласия нет, могут последовать наказания – штрафы, блокировка сайта, приостановка работы, отзыв лицензии.

   Как проверить актуальность персональных данных сотрудников

   Дата публикации: 09.10.2017 10:13 (архив)

   Начиная с 1 января 2021 года полномочия по администрированию страховых взносов возложены на налоговые органы. Расчет по страховым взносам в 2021 году нужно представлять в налоговую инспекцию один раз в квартал — не позднее 30-го числа месяца, следующего за отчетным периодом (п. 7 ст. 431 Налогового кодекса РФ).

   Исходя из положений п. 7 ст. 431 Налогового кодекса РФ расчет по страховым взносам считается непредставленным, если:

   • совокупная сумма взносов на пенсионное страхование, исчисленных с выплат в рамках предельной величины базы, за каждый из последних трех месяцев отчетного (расчетного) периода в целом по организации не совпадает с начисленной суммой взносов по каждому работнику;
   • указаны недостоверные персональные данные, идентифицирующие застрахованных физических лиц.

   В этом случае плательщику не позднее дня, следующего за днем получения расчета в электронной форме (10 дней, следующих за днем получения расчета на бумажном носителе), направляется соответствующее уведомление.

   Роскомнадзор: что проверяет и на что обращает внимание

   Мероприятия по охране труда: план на предприятии

   В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.

   При плановой ревизии важно:

   • какие именно данные обрабатывает компания;
   • кто отвечает за обработку;
   • где можно ознакомиться с политикой компании (в том числе на сайте);
   • кому передаются данные;
   • как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
   • как хранятся документы, и как контролируется доступ в этих помещениях;
   • насколько всё перечисленное соответствует заявленному в документах.

   Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.

   Лайфхак по успешному прохождению проверки Роскомнадзора

   Для успешного прохождения проверки Роскомнадзора необходимо учесть следующие основные моменты:

   1. Роскомнадзор проверят отдельно автоматизированную (в компьютерных системах) и не автоматизированную (бумажную) обработку персональных данных. Внутренние ОРД должны быть разработаны по обоим направлениям отдельно.
   2. Роскомнадзор на проверке запрашивает не все абсолютно договоры с контрагентами, а по определенным категориям (см. выше «Что проверяет Роскомнадзор?»). Поэтому стоит позаботиться о том, чтобы как минимум по 1-2 договору по каждому направлению у вас были идеальными (соответствовали требованию закона в части передачи права обработки и возложения обязанности по защите персональных данных) или имелись соответствующие дополнительные соглашения к данным договорам.
   3. Роскомнадзор при проведении проверки руководствуется административным регламентом по данной процедуре проверки, который размещен на официальном сайте Роскомнадзора. Рекомендуется с ним как следует ознакомиться перед прохождением проверки.
   4. Обязательно необходимо перед проверкой сделать самооценку по статьям 18.1 и 19 закона и оперативно разработать необходимые документы (см ниже «Какие документы запрашивает Роскомнадзор на проверке»).
   5. Роскомнадзор проверяет не только обработку персональных данных оператором, но и обработку персональных данных при организации пропускного режима и охраны территории оператора, даже если эту функцию выполняет внешняя организация.
   
   

   Похожие записи:

   • Что ждет пенсионеров в 2023 году
   • Налог с продажи квартиры — 2022: инструкция по НДФЛ
   • Перевод на другую должность: ключевые нюансы и спорные ситуации