Проверки по защите персональных данных: как проходят и можно ли оспорить

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Проверки по защите персональных данных: как проходят и можно ли оспорить». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.

Давайте подытожим, что нам нужно сделать, чтобы подготовиться к проверке РКН по вопросам выполнения законодательства в сфере защиты персональных данных и успешно ее пройти.

1. Проанализировать необходимость подачи уведомления оператора ПДн. Проверить наличие уведомления, проверить корректность информации в уведомлении. Внести изменение в уведомление, при необходимости.
2. Провести подробную инвентаризацию обрабатываемых персональных данных, информационных систем персональных данных, законность обработки различных персональных данных, технологические процессы обработки персональных данных и т. д. Эта информация нам понадобится при разработке документов.
3. Назначить ответственных.
4. Разработать комплект документации по защите персональных данных. Документация должна быть конкретизированной в отношении определенной организации и/или определенной ИСПДн. Уделяя время разработке документации по защите и обработке ПДн в информационных системах, не забыть о регламентировании неавтоматизированной обработки ПДн.
5. Опубликовать политику в отношении обработки персональных данных на сайте (хотя допускается и другой вид организации беспрепятственного доступа к документу, если вы не гос- или муниципальный орган).
6. Ознакомить всех причастных сотрудников с разработанной документацией.
7. Заполнить журналы.
8. Проинструктировать своих сотрудников о том, что проверяющим не нужно говорить лишнего и о том, что не нужно разбрасывать документы с ПДн по всему офису.
9. Вести себя корректно с проверяющими. Выразить свою готовность исправлять мелкие недочеты в процессе проверки.

Что проверяет Роскомнадзор?

Предметом государственного контроля являются:

1. Документы, характер информации в которых предполагает или допускает включение в них персональных данных.
2. Проверка сведений, содержащихся в уведомлении об обработке ПДн:
   • договоры с внешними организациями,
   • проездные документы и бронирование гостиниц при организации командировок,
   • добровольное медицинское страхование,
   • обеспечение телефонной связью,
   • заработная плата сотрудникам,
   • изготовление визитных карточек.

   Проверки Роскомнадзора: что нужно знать

   В первую очередь нужно изучить, какими документами регламентируются проверки. Список таких документов представлен ниже.

   • Постановление Правительства РФ от 16.03.2009 № 228. Здесь указана структура Роскомнадзора и его законные полномочия.
   • Постановление Правительства РФ от 29.06.2021 № 1046. Описывает порядок и правила поведения инспекционных проверок Роскомнадзором. Здесь же расписаны права и обязанности инспекторов контролирующего органа, а также операторов персональных данных. Указаны типы проверок, группы риска.
   • Приказ Минкомсвязи РФ от 14.11.2011 № 312. Это документ пригодится, если появилось желание оспорить результаты состоявшейся проверки Роскомнадзора.

   Услуги по подготовке к проверке

   Специалисты Центра безопасности данных имеют большой опыт взаимодействия с Роскомнадзором в ходе контрольных мероприятий. Мы проанализируем все процессы обработки персональных данных в вашей компании, разработаем стратегию подготовки к проверке и её прохождения, подготовим все необходимые документы и рекомендации, проанализируем все запросы проверяющих и составим на них ответы, подскажем как вести себя в ходе проверки и ответим на все вопросы касательно персональных данных и проверки.

   По результатам подготовки к проверке Роскомнадзора вы получите:

   • первичную консультацию с выработкой стратегии прохождения проверки;
   • комплект внутренних организационно-распорядительных документов, регламентирующих вопросы обработки и защиты персональных данных;
   • консультации по вопросам в области персональных данных;
   • регистрацию в качестве оператора персональных данных;
   • анализ сведений в реестре операторов персональных данных и внесение изменений при необходимости;
   • анализ запросов Роскомнадзора и подготовка ответов;
   • консультации по вопросам прохождения проверки.

   Виды проверок соблюдения законодательства о персональных данных

   Ключевые моменты в положении о проверках, которые нужно учитывать предприятиям:

   1. Роскомнадзор проверяет две ключевые составляющие деятельности операторов ПД (п. 7 Положения по постановлению № 1046):
   • деятельность по обработке персональных данных самого оператора и третьих лиц, которые выполняют его поручения;
   • результаты деятельности оператора по разработке документов и локальных нормативов, направленных на обеспечение требований по ч. 1 ст. 18.1 Закона № 152-ФЗ.
   1. Предусмотрены профилактические мероприятия (п. 13 Положения), контрольно-надзорные мероприятия (п. 42 Положения).

   Указанная классификация основана на перечнях профилактических и контрольно-надзорных мероприятий, приведенных, соответственно, в ст. 45 и 56 Закона № 248-ФЗ. Профилактические мероприятия — это «мягкие» варианты взаимодействия регулятора и контролируемого лица, контрольно-надзорные — более «строгие». Возможно, что по итогам профилактического мероприятия будет начато контрольно-надзорное (ч. 4 ст. 45 Закона № 248-ФЗ).

   1. Частота и типы профилактических и контрольно-надзорных мероприятий привязаны к категории риска, присвоенной хозяйствующему субъекту (п. 10 Положения).

   Кого проверяет Роскомнадзор

   В соответствие с Положением о Роскомнадзоре (постановление Правительства №228 от 16.03.2009 года), Служба осуществляет контроль и надзор деятельности операторов персональных данных в части выполнения ними требований действующего законодательства.

   Оператор персональных данных (ОПД) – любая организация, ИП, физлицо, федеральных или муниципальный орган власти, который каким-либо образом взаимодействует с личной (персональной) информацией третьих лиц.

   В состав персональной информации включаются:

   • паспортные данные;
   • ИНН;
   • место проживания;
   • информация о составе семьи;
   • данные о фактическом местонахождении;
   • банковские реквизиты;
   • личная информация из автобиографии.

   Таким образом, Роскомнадзор вправе проверить:

   • любого работодателя, который консолидирует личную информацию о сотрудниках;
   • компанию сферы ИТ, которая занимается обработкой персональных данных пользователя;
   • фирму, которая собирает заявки от клиентов путем анкетирования (в том числе через интернет-сайт или электронную почту).

   Порядком предусмотрено проведение Роскомнадзором как плановых, так и внеплановых проверок. Плановые проверки осуществляются согласно утвержденному графику. Внеплановые проверки могут проводится на основании жалоб, поступивших в Роскомнадзор в части нарушения ОПД требований действующего законодательства.

   Какие документы по ПД должны быть в организации

   Каждая организация обязана иметь перечень документов по персональным данным для Роскомнадзора и других контролирующих органов, куда входят:

   • уведомление Роскомнадзора об обработке персданных и об изменении информации, переданной в ранее направленных уведомлениях;
   • приказ, в соответствии с которым назначается сотрудник, отвечающий за работу с персональными данными в организации;
   • согласие сотрудников на обрабатывание их ПД;
   • политика обрабатывания и защиты персональных данных в организации;
   • положение о принятых мерах защиты ПД;
   • регламент допуска лиц, работающих с персональными данными;
   • список лиц, которым требуется допуск к персональным данным, которые проходят обработку в информационной системе;
   • обязательство не разглашать персданные;
   • правила и план внутреннего контроля соответствия обработки ПД;
   • акт уничтожения персональных данных;
   • акт, оценивающий вероятный вред, который может быть причинен субъектам ПД;
   • уведомление Роскомнадзора о передаче данных трансграничным способом.

   Регламент проведения проверок обращения с персданными

   Правительство РФ утвердило правила проверок организаций на предмет того, не нарушают ли они закон при обработке персональных данных своих сотрудников и клиентов-физлиц.

   Объект проверки

   Проверять будут юрлиц и ИП, являющихся операторами персданных.

   Таким образом, контролю подвергнут работодателей, поскольку они являются операторами персданных.

   Виды проверок

   Ревизии могут проходить в виде:

   1. плановых проверок – выездных и документарных;
   2. внеплановых проверок – выездных;
   3. мероприятий без взаимодействия инспекторов с операторами.

   Плановые проверки

   Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.

   Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.

   В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.

   Внеплановые проверки

   Проводятся на основании:

   • обращений граждан;
   • по требованию прокурора;
   • в случае неисполнения оператором предписания.

   Уведомление компании

   Роскомнадзор должен уведомить фирму:

   • о проведении плановой проверки – не позднее чем за 3 рабочих дня:
   • о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.

   Способ уведомления – направление копии приказа о проведении проверки (либо-либо):

   • заказным письмом с уведомлением о вручении;
   • электронным документом с усиленной квалифицированной электронной подписью на электронную почту.

   Что будут проверять

   Инспекторы проверят:

   • документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 закона о персданных;
   • обработку персданных на предмет ее соответствия установленным требованиям;
   • информационные системы персданных.
   

   Что работодатель должен и не должен знать о работнике

   В Трудовом кодексе РФ нет конкретного перечня сведений, относящихся к персональным данным работника. Равно как и нет его и в Законе «О персональных данных». В этом документе есть только их Определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

   Соответственно, в законодательстве отсутствует список сведений, которые работодатель вправе собирать и хранить в отношении каждого работника.

   Вместе с тем в ст. 65 ТК РФ приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу. По этим документам можно понять, какие сведения о работниках компания получает, и соответственно, имеет право обрабатывать, а каких сведений в ее распоряжении оказаться не должно.

   Что у компании должно быть

   Итак, при приеме на работу работодатель получает персональные данные работника, а именно:

   • Ф.И.О., возраст, место жительства, семейное положение (из паспорта);
   • трудовой стаж и предыдущие места работы (из трудовой книжки);
   • регистрация в органах ПФР (из карточки СНИЛС);
   • отношение работника к воинскому учету (из документов воинского учета);
   • образование и квалификация (из дипломов, аттестатов, свидетельств об образовании);
   • судимость (из справки о ее наличии или отсутствии);
   • употребление наркотиков (из справки, подтверждающей или опровергающей этот факт).

   Персональные данные из социальных сетей просто так брать нельзя

   Организация собирала персональные данные банковских клиентов-физлиц, содержащиеся в социальных сетях «ВКонтакте», «Одноклассниках», «МойМир», Instragram, Twitter, а также на интернет-порталах «Авито» и «Авто.ру».

   По мнению компании, она вправе обрабатывать эти данные без согласия физлиц, поскольку они содержатся в открытых источниках, а значит, являются общедоступными.

   Роскомнадзор решил, что компания ошибается, и суд с ним согласился.

   В соответствии с ч. 1 ст. 8 закона о персональных данных в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В такие источники с письменного согласия субъекта персданных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные личные данные, сообщаемые их носителем.

   Исходя из этих положений закона, размещение персональных данных в социальных сетях автоматически не делает их общедоступными. Следовательно, не допускается обработка таких данных без согласия субъекта.

   Таким образом, в нарушение п. 1 ч. 1 ст. 6 и ч. 3 ст. 22 закона о персданных компания обрабатывала их, не получив у граждан согласия.

   Какие комментарии Роскомнадзор оставляет чаще всего

   Одним из самых распространенных замечаний РСН является отсутствие публикации документа, который бы определял Политику обработки ПДн. Избежать этого можно, выложив документ на сайт так, чтобы его было видно сразу.

   Роскомнадзор может отметить, что у него нет уведомлений об обработке ПДн и сведений об изменении информации. Чтобы таких ситуаций не было, необходимо своевременно актуализировать уведомление об обработке ПДн, и своевременно отправлять информационное письмо в РКН.

   Чтобы не получить замечание об отсутствии мест хранения ПДн и списка лиц, имеющих к ним доступ и работающих с ними, необходимо позаботиться о раздельном хранении документов, о контроле над помещениями, в которых обрабатываются персональные данные.

   РКН может обратить внимание на несоблюдение конфиденциальность ПДн в договорах с третьими лицами и игнорировании требований к защите персональных данных. В этом случае необходимо обозначать цель передачи персональных данных другой компании и указывать все действия, которые она будет совершать, не забывая прописать обязанность обеспечения конфиденциальности и безопасности данных.

   Если же Роскомнадзор посчитает, что требования по обучению и ознакомлению сотрудников с правилами обработки и хранения ПДн не выполняются, необходимо будет собрать подписи сотрудников, ознакомившихся с Политикой, инструкцией, положением, подписать обязательство о соблюдении конфиденциальности, согласие на обработку персональных данных.

   Разновидности проверок

   Роскомнадзор осуществляет следующие формы проверок:

   • Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
   • Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
   • Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
   • Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
   

   Проверки Роскомнадзора

   Статья 23 федерального закона от 27.07.2006 «О персональных данных» №152-ФЗ выделяет два направления деятельности Роскомнадзора:

   • защита прав субъектов персональных данных;
   • контроль и надзор за соответствием обработки персональных данных требованиям законодательства.

   Для выполнения этих функций указанная статья закона наделяет Роскомнадзор определенными полномочиями. Рассмотрим самые, на наш взгляд, важные из них.

   Роскомнадзор:

   • проверяет сведения, указанные организацией в Уведомлении;
   • может требовать от оператора уничтожения недостоверных или полученных незаконным путем персональных данных;
   • может ограничивать доступ к информации, обрабатываемой с нарушением законодательства;
   • вправе обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять их в суде;
   • наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении настоящего Федерального закона;
   • обязан рассматривать жалобы и обращения по вопросам, связанным с обработкой персональных данных, а также принимать по ним решения в пределах своих полномочий.

   На практике основные действия Роскомнадзора в соответствии с федеральным законом «О персональных данных» следующие:

   • работа с обращениями и жалобами граждан;
   • проведение контрольных и надзорных мероприятий;
   • ведение Реестра операторов персональных данных.

   Роскомнадзор рассматривает жалобы по закону от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации». Жалобы могут быть направлены как в письменном виде, так и через специальную форму на сайте Роскомнадзора или портала Госуслуг. Срок рассмотрения обращения — 30 календарных дней, за исключением случаев, установленных в законе.

   Роскомнадзор: что проверяет и на что обращает внимание

   Мероприятия по охране труда: план на предприятии

   В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.

   При плановой ревизии важно:

   • какие именно данные обрабатывает компания;
   • кто отвечает за обработку;
   • где можно ознакомиться с политикой компании (в том числе на сайте);
   • кому передаются данные;
   • как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
   • как хранятся документы, и как контролируется доступ в этих помещениях;
   • насколько всё перечисленное соответствует заявленному в документах.

   Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.

   Роскомнадзор: что проверяет и на что обращает внимание

   Мероприятия по охране труда: план на предприятии

   В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.

   При плановой ревизии важно:

   • какие именно данные обрабатывает компания;
   • кто отвечает за обработку;
   • где можно ознакомиться с политикой компании (в том числе на сайте);
   • кому передаются данные;
   • как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
   • как хранятся документы, и как контролируется доступ в этих помещениях;
   • насколько всё перечисленное соответствует заявленному в документах.

   Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.

   Что требует проверяющий

   Административным регламентом №312 определена последовательность действий (административных процедур) Роскомнадзора и его территориальных органов.

   В частности, предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных являются (п. 5 Административного регламента №312):

   • документы, характер информации в которых предполагает или допускает включение в них персональных данных (напр., личные дела работников)
   • информационные системы персональных данных (напр., правила ведения электронного документооборота в программе 1С)
   • деятельность по обработке персональных данных (напр., локальный нормативный акт о защите ПДР, согласие на обработку персональных данных и др.)

   Общий перечень документов, подлежащих проверке, законодательно не определен.

   Лайфхак по успешному прохождению проверки Роскомнадзора

   Для успешного прохождения проверки Роскомнадзора необходимо учесть следующие основные моменты:

   1. Роскомнадзор проверят отдельно автоматизированную (в компьютерных системах) и не автоматизированную (бумажную) обработку персональных данных. Внутренние ОРД должны быть разработаны по обоим направлениям отдельно.
   2. Роскомнадзор на проверке запрашивает не все абсолютно договоры с контрагентами, а по определенным категориям (см. выше «Что проверяет Роскомнадзор?»). Поэтому стоит позаботиться о том, чтобы как минимум по 1-2 договору по каждому направлению у вас были идеальными (соответствовали требованию закона в части передачи права обработки и возложения обязанности по защите персональных данных) или имелись соответствующие дополнительные соглашения к данным договорам.
   3. Роскомнадзор при проведении проверки руководствуется административным регламентом по данной процедуре проверки, который размещен на официальном сайте Роскомнадзора. Рекомендуется с ним как следует ознакомиться перед прохождением проверки.
   4. Обязательно необходимо перед проверкой сделать самооценку по статьям 18.1 и 19 закона и оперативно разработать необходимые документы (см ниже «Какие документы запрашивает Роскомнадзор на проверке»).
   5. Роскомнадзор проверяет не только обработку персональных данных оператором, но и обработку персональных данных при организации пропускного режима и охраны территории оператора, даже если эту функцию выполняет внешняя организация.
   
   

   Похожие записи:

   • Когда изменение должностной инструкции нужно согласовывать с работником
   • Вступление в наследство в 2023 году упростилось
   • Как найти долю от числа 4 класс