Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как проводится проверка Роскомнадзора». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.
Уведомление оператора персональных данных
Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:
- уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
- уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
- персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).
Что проверяет Роскомнадзор?
Предметом государственного контроля являются:
- Документы, характер информации в которых предполагает или допускает включение в них персональных данных.
- Проверка сведений, содержащихся в уведомлении об обработке ПДн:
- договоры с внешними организациями,
- проездные документы и бронирование гостиниц при организации командировок,
- добровольное медицинское страхование,
- обеспечение телефонной связью,
- заработная плата сотрудникам,
- изготовление визитных карточек.
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Какие документы по персональным данным должны быть в организации
Типовой перечень документов по персональным данным (для Роскомнадзора и не только) в каждой организации следующий:
- положение о работе с персданными сотрудников;
- политика защиты и обработки персданных;
- уведомление в территориальный орган Роскомнадзора о намерении осуществлять обработку ПД;
- приказ о назначении ответственного за работу с персданными;
- регламент допуска сотрудников к обработке ПД;
- обязательство о неразглашении персданных (отдельным документом или в виде дополнительного соглашения);
- согласие сотрудников на обработку ПД;
- уведомление в Роскомнадзор о трансграничной передаче ПД (если таковая есть);
- уведомление в Роскомнадзор об изменении сведений, содержавшихся в предыдущих уведомлениях;
- акт об уничтожении персданных;
- акт об оценке возможного вреда субъектам персданных;
- выгрузка из журнала регистрации событий в системе персданных;
- правила и план внутреннего контроля соответствия обработки ПД;
- протоколы внутренних проверок условий обработки ПД (один раз в три года).
Виды проверок соблюдения законодательства о персональных данных
Ключевые моменты в положении о проверках, которые нужно учитывать предприятиям:
- Роскомнадзор проверяет две ключевые составляющие деятельности операторов ПД (п. 7 Положения по постановлению № 1046):
- деятельность по обработке персональных данных самого оператора и третьих лиц, которые выполняют его поручения;
- результаты деятельности оператора по разработке документов и локальных нормативов, направленных на обеспечение требований по ч. 1 ст. 18.1 Закона № 152-ФЗ.
- Предусмотрены профилактические мероприятия (п. 13 Положения), контрольно-надзорные мероприятия (п. 42 Положения).
Указанная классификация основана на перечнях профилактических и контрольно-надзорных мероприятий, приведенных, соответственно, в ст. 45 и 56 Закона № 248-ФЗ. Профилактические мероприятия — это «мягкие» варианты взаимодействия регулятора и контролируемого лица, контрольно-надзорные — более «строгие». Возможно, что по итогам профилактического мероприятия будет начато контрольно-надзорное (ч. 4 ст. 45 Закона № 248-ФЗ).
- Частота и типы профилактических и контрольно-надзорных мероприятий привязаны к категории риска, присвоенной хозяйствующему субъекту (п. 10 Положения).
Проверочные листы Роскомнадзора
В целях уменьшения рисков нарушений Роскомнадзор может направлять предприятиям проверочные листы с вопросами, ответы на которые могут свидетельствовать о несоблюдении требований законодательства о персональных данных (ст. 53 Закона № 248-ФЗ. На практике такие листы могут использоваться непосредственно при проверках и, соответственно, предварительное ознакомление с перечнем вопросов, приведенных там, поможет предприятию лучше подготовиться к проверке, как и устранить нарушения. Действующая форма проверочного листа по проверкам Роскомнадзора утверждена приказом ведомства от 24.12.2021 № 253.
Положением № 1046 определена особая категория мероприятий с участием Роскомнадзора и хозяйствующих субъектов — мероприятия без взаимодействия ведомства с контролируемыми лицами. На такие мероприятия не распространяется действие Закона № 248-ФЗ (п. 6 Положения). Представлены они могут быть (п. 59 Положения):
- наблюдением за соблюдением требований при публикации сведений в интернете;
- наблюдением за соблюдением требований с помощью анализа данных о деятельности контролируемого лица, имеющихся в распоряжении Роскомнадзора.
Предмет проверки Роскомнадзора
Сферы деятельности юридических лиц и ИП, надзор в которых осуществляет Роскомнадзор, перечислены в п. 5 положения, утвержденного постановлением Правительства РФ «О Федеральной…» от 16.03.2009 № 228. В соответствии с ним Роскомнадзор проводит проверки за соблюдением законодательства в различных сферах, в частности, таких как:
- деятельность средств массовой информации, телеканалов, периодических печатных, электронных и других изданий;
- информатизация и защита информации;
- организация и работа радио и телевещания;
- связь и массовые коммуникации;
- организация и деятельность почтовых операторов;
- обработка и защита персональных данных граждан.
Регламент проведения проверок обращения с персданными
Правительство РФ утвердило правила проверок организаций на предмет того, не нарушают ли они закон при обработке персональных данных своих сотрудников и клиентов-физлиц.
Объект проверки
Проверять будут юрлиц и ИП, являющихся операторами персданных.
Таким образом, контролю подвергнут работодателей, поскольку они являются операторами персданных.
Виды проверок
Ревизии могут проходить в виде:
- плановых проверок – выездных и документарных;
- внеплановых проверок – выездных;
- мероприятий без взаимодействия инспекторов с операторами.
Плановые проверки
Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.
Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.
В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.
Внеплановые проверки
Проводятся на основании:
- обращений граждан;
- по требованию прокурора;
- в случае неисполнения оператором предписания.
Уведомление компании
Роскомнадзор должен уведомить фирму:
- о проведении плановой проверки – не позднее чем за 3 рабочих дня:
- о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.
Способ уведомления – направление копии приказа о проведении проверки (либо-либо):
- заказным письмом с уведомлением о вручении;
- электронным документом с усиленной квалифицированной электронной подписью на электронную почту.
Что будут проверять
Инспекторы проверят:
- документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 закона о персданных;
- обработку персданных на предмет ее соответствия установленным требованиям;
- информационные системы персданных.
Положение о порядке обработки персональных данных необходимо
Трудовая инспекция выдала обществу предписание устранить нарушения трудовых прав работников.
Среди них – принять локальный акт, устанавливающий порядок обработки персональных данных сотрудников предприятия.
Общество оспорило предписание, сославшись на то, что вывод о нарушении трудовых прав работников является надуманным. В организации числится лишь один работник, и он же является директором ООО. Выходит, что трудовая инспекция одновременно и защищает права работника, и привлекает его же к ответственности, что недопустимо.
Суд не внял этому аргументу и решил, что в соответствии со ст. 86‒88 ТК РФ у каждого работодателя должен иметься локальный нормативный акт о порядке обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Поэтому у государственного инспектора труда имелись основания для выдачи предписания.
Данные клиентов из Интернета можно использовать без уведомления Роскомнадзора
Роскомнадзор провел проверку в компании, выявил несколько нарушений при работе с персданными и выдал предписание об устранении нарушений.
Компания оспорила это предписание и выиграла суд по всем пунктам.
Почему – читайте в таблице.ТАБЛИЦА: «Пять законных способов работы с персданными»
Действия компании по работе с персональными данными Позиция Роскомнадзора Позиция компании и судов При оформлении заказа на сайте интернет-магазина клиенты указывают свои персданные, необходимые для доставки заказа.
Данные сведения компания обрабатывает в информационной системе «1С:Предприятия (Магазины)»
Компания обязана уведомлять Роскомнадзор об обработке
персональных данных такими способами, поскольку она проводится с использованием информационных систем. Поэтому не подпадает под исключения, предусмотренные ч. 2
ст. 22 закона о персональных данных
Частью 2 ст. 22 закона о персданных № 152-ФЗ прямо предусмотрен перечень из 9 случаев, когда фирма освобождается от обязанности представлять в Роскомнадзор уведомление об обработке персданных.
Одним из таких случаев (п. 2) является обработка личных данных, полученных оператором в связи с заключением договора, стороной которого является субъект этих данных, если они не распространяются и не предоставляются третьим лицам без согласия субъекта и используются только оператором.
Способ, которым обрабатываются персданные, – без использования средств автоматизации или с использованием информационных систем – не имеет правового значения.
Поэтому в силу п. 1 ч. 2 ст. 22 закона № 152-ФЗ о персданных уведомлять Роскомнадзор в данном случае не требуется
Используется система «1С:Зарплата и управление персоналом 8»
Указанные системы используются компанией в рамках трудовых договоров, заключенных с работниками.
При этом абз. 17 ст. 22 ТК РФ закреплена обязанность работодателя выплачивать работникам зарплату в полном размере и в установленные сроки.
Статья 91 ТК РФ обязывает работодателя вести учет времени, отработанного каждым сотрудником.
Таким образом, использование указанных систем подпадает под исключение, предусмотренное п. 1 ч. 2 ст. 22 закона о персональных данных, то есть обработка таких данных осуществляется в соответствии с трудовым законодательством
Используется система БСУВ «Биометрическая система учета времени»
В ходе подбора персонала компания размещает вакансии на сайтах в сети Интернет, а полученные резюме в электронном виде хранит на рабочих компьютерах в отделе подбора персонала Компания обязана уведомлять Роскомнадзор об обработке
персданных таким способом, так как работа по подбору персонала не регулируется трудовым законодательством.
В связи с этим обработка личных данных не подпадает под исключения ч. 2 ст. 22 закона о персданных
Трудовые и иные непосредственно связанные с ними отношения регулируются не только кодексом, но и другими нормативными актами (ст. 5 ТК РФ).
Правоотношения между кандидатом и будущим работником регулируются законом о занятости населения.
Из него следует, что работодатели должны содействовать проведению госполитики занятости населения, оказывая помощь в трудоустройстве. При этом они вправе принимать на работу граждан, непосредственно обратившихся к ним, на равных основаниях с теми, кто имеет направление органов службы занятости (ч. 1, ч. 3.1 ст. 25, ч. 1 ст. 26).
Таким образом, работодатель вправе обрабатывать персданные кандидатов на вакансии и сохранять их резюме, как в бумажном, так и в электронном виде, формируя базу соискателей при наличии письменного согласия кандидатов
Что такое персональные данные
Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.
Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.
Важно! Если согласия нет, могут последовать наказания – штрафы, блокировка сайта, приостановка работы, отзыв лицензии.
Как проверить актуальность персональных данных сотрудников
Дата публикации: 09.10.2017 10:13 (архив)
Начиная с 1 января 2021 года полномочия по администрированию страховых взносов возложены на налоговые органы. Расчет по страховым взносам в 2021 году нужно представлять в налоговую инспекцию один раз в квартал — не позднее 30-го числа месяца, следующего за отчетным периодом (п. 7 ст. 431 Налогового кодекса РФ).
Исходя из положений п. 7 ст. 431 Налогового кодекса РФ расчет по страховым взносам считается непредставленным, если:
- совокупная сумма взносов на пенсионное страхование, исчисленных с выплат в рамках предельной величины базы, за каждый из последних трех месяцев отчетного (расчетного) периода в целом по организации не совпадает с начисленной суммой взносов по каждому работнику;
- указаны недостоверные персональные данные, идентифицирующие застрахованных физических лиц.
В этом случае плательщику не позднее дня, следующего за днем получения расчета в электронной форме (10 дней, следующих за днем получения расчета на бумажном носителе), направляется соответствующее уведомление.
Роскомнадзор: что проверяет и на что обращает внимание
Мероприятия по охране труда: план на предприятии
В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.
При плановой ревизии важно:
- какие именно данные обрабатывает компания;
- кто отвечает за обработку;
- где можно ознакомиться с политикой компании (в том числе на сайте);
- кому передаются данные;
- как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
- как хранятся документы, и как контролируется доступ в этих помещениях;
- насколько всё перечисленное соответствует заявленному в документах.
Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.
Лайфхак по успешному прохождению проверки Роскомнадзора
Для успешного прохождения проверки Роскомнадзора необходимо учесть следующие основные моменты:
- Роскомнадзор проверят отдельно автоматизированную (в компьютерных системах) и не автоматизированную (бумажную) обработку персональных данных. Внутренние ОРД должны быть разработаны по обоим направлениям отдельно.
- Роскомнадзор на проверке запрашивает не все абсолютно договоры с контрагентами, а по определенным категориям (см. выше «Что проверяет Роскомнадзор?»). Поэтому стоит позаботиться о том, чтобы как минимум по 1-2 договору по каждому направлению у вас были идеальными (соответствовали требованию закона в части передачи права обработки и возложения обязанности по защите персональных данных) или имелись соответствующие дополнительные соглашения к данным договорам.
- Роскомнадзор при проведении проверки руководствуется административным регламентом по данной процедуре проверки, который размещен на официальном сайте Роскомнадзора. Рекомендуется с ним как следует ознакомиться перед прохождением проверки.
- Обязательно необходимо перед проверкой сделать самооценку по статьям 18.1 и 19 закона и оперативно разработать необходимые документы (см ниже «Какие документы запрашивает Роскомнадзор на проверке»).
- Роскомнадзор проверяет не только обработку персональных данных оператором, но и обработку персональных данных при организации пропускного режима и охраны территории оператора, даже если эту функцию выполняет внешняя организация.
Похожие записи: