Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как проводится проверка Роскомнадзора». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
В соответствие с Положением о Роскомнадзоре (постановление Правительства №228 от 16.03.2009 года), Служба осуществляет контроль и надзор деятельности операторов персональных данных в части выполнения ними требований действующего законодательства.
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Как проверяет Роскомнадзор?
Существуют плановые и внеплановые проверки, которые проводятся как в отношении тех организаций, которые включены в реестр Роскомнадзора, так и тех, что не включены. Плановые проверки более безобидные, так как о том, что вас проверят, оповестят заранее (не позднее чем за три дня), а по внеплановым проверкам — всего за 24 часа. Роскомнадзор в конце каждого года публикует на своем сайте план проверок на следующий календарный год и проверяет в соответствии с ним.
Для организации все начинается с уведомления, которое приходит по почте России. В нем Роскомнадзор уведомляет о намерении проверить и кратко сообщает, что именно будет проверять. Также в уведомлении сообщается состав проверочной комиссии, дата и срок выездной проверки. Срок проверки обычно составляет 20 рабочих дней, но это не значит, что все 20 дней у вас будет сидеть комиссия, а говорит лишь о дедлайне проверки. Комиссия, как правило, приезжает всего 2-3 раза: первый раз — запросить документы, второй раз — забрать документы и третий раз — выдать акт о проверке с замечаниями и предписанием на устранение нарушений. Нередко сразу выписываются протоколы об административных правонарушениях.
По факту объем запрашиваемых документов и методика самой проверки сильно варьируются в зависимости от того или иного территориального управления Роскомнадзора.
Кратко порядок проверки выглядит так:
- Уведомление оператора о проведении плановой проверки путем направления копии приказа руководителя Роскомнадзора о проверке почтой России. Уведомление должно поступить оператору не позднее трех рабочих дней до начала ее проверки (при плановой проверке), что очень мало, чтобы успеть к ней подготовиться.
- Далее в указанный в уведомлении день проверки приезжает комиссия, как правило, в составе 2-3 человек для осуществления государственного контроля.
- На месте проверки комиссия запрашивает и рассматривает документы, имеющиеся у оператора «под рукой», и выдает список документов для предоставления оператором до окончания срока проверки. Непредоставление оператором запрошенных документов расценивается как несоответствие требованию закона, и выписывается штраф, а также предписание на устранение нарушений.
- По результатам рассмотрения представленных оператором к проверке документов Роскомнадзор составляет акт проверки, предписание об устранении выявленных нарушений, а также протоколы об административных нарушениях в отношении оператора.
- По окончании срока предписания об устранении выявленных нарушений назначается повторная внеплановая проверка. В случае неустранения нарушений деятельность организации приостанавливается.
Проверки Роскомнадзора: что нужно знать
В первую очередь нужно изучить, какими документами регламентируются проверки. Список таких документов представлен ниже.
- Постановление Правительства РФ от 16.03.2009 № 228. Здесь указана структура Роскомнадзора и его законные полномочия.
- Постановление Правительства РФ от 29.06.2021 № 1046. Описывает порядок и правила поведения инспекционных проверок Роскомнадзором. Здесь же расписаны права и обязанности инспекторов контролирующего органа, а также операторов персональных данных. Указаны типы проверок, группы риска.
- Приказ Минкомсвязи РФ от 14.11.2011 № 312. Это документ пригодится, если появилось желание оспорить результаты состоявшейся проверки Роскомнадзора.
Как проходит проверка
Как правило, проверка начинается со встречи специалистов со стороны компании и проверяющих, изучения документов и нескольких серий вопросов и ответов. Четкого регламента этого мероприятия не существует, поэтому многое зависит от самих проверяющих.
Вы можете столкнуться с «усталыми» аудиторами, у которых за плечами множество подобных проверок. Если они не наткнутся на что-то непонятное, то скорее всего ограничатся минимумом бумаг и пояснений.
С другой стороны, молодые специалисты, которые карабкаются по карьерной лестнице, бывают намного дотошнее и глубже разбираются в информационных технологиях. Они не поленятся изучить архитектуру баз данных или лично заглянуть в серверную. Особенно любят вникать в технические вопросы сотрудники ФСТЭК и ФСБ.
Что бы они ни делали инспекторы, вы имеете право присутствовать при проверке и интересоваться ее ходом. Это очень полезная возможность. Держите руку на пульсе. Своевременные разъяснения помогают избавиться от множества проблем.
Если вы не согласны с выводами проверяющих, можете что-то добавить или предоставить дополнительные бумаги, стоит делать это в процессе проверки, до составления итогового акта. Это объемный и трудоемкий документ, поэтому проверяющие очень неохотно вносят в него исправления.
К наиболее часто встречающимся недочетам, которые обнаруживаются при проверке оператора, можно отнести:
— отсутствие любых средств защиты информации;
— недостаточный уровень знаний специалистов, отвечающих за информационную безопасность;
— отсутствие сертификатов на используемые средства защиты или завершение их срока действия сертификат;
— некорректное использование средств защиты информации, неправильную их настройку или не использование, несмотря на их наличие;
— отсутствие аттестации у государственной информационной системы;
— некорректно составленную модель угроз и нарушителей;
— отсутствие нормативной документации и формуляров;
— игнорирование факта проведения запланированных мероприятий по защите информации;
— низкий уровень физической защиты технических средств.
Проверка Роскомнадзора: как подготовиться и избежать штрафов
Что проверяет Роспотребнадзор: как часто проводятся проверки
По законодательству оператором персональных данных считается любая организация, которая взаимодействует с людьми и их документами, т.е. под это определение подпадают все предприятия, где в штате больше одного человека. Проверка касается не только юридических лиц, но и ИП, в которых есть хотя бы один наёмный сотрудник, и даже физических лиц, если они работают с чужими карточкам.
Важно! Если документы содержатся в порядке, то специальной подготовки к ревизии Роскомнадзора не потребуется.
Подготовку лучше начать с того, что изучить план проверок Роскомнадзора на 2021 год. Если в нём нет нужной организации, значит, в этом году можно не бояться. О плановой проверке дополнительно приходит предупреждение за 3 дня до неё, но на всякий случай лучше держать документы в порядке постоянно.
Как проходит проверка Роскомнадзора по защите персональных данных
Программа предусматривает поэтапное взаимодействие:
- предприятие получает уведомление (при плановой проверке – за 3 дня, при внеплановой – за сутки), в нём указывается дата проведения и номер приказа;
- при документарной проверке (только плановой) высылается запрос и перечень документов, которые нужно представить. Руководитель высылает копии, заверенные своей подписью;
- при выездной проверке (плановой или внеплановой, может следовать за документарной, если выявлены недочёты) приезжают два инспектора, которые проверяют соответствие документов реальному положению дел;
- контролирующий орган выносит решение и даёт предписания;
- предприятие выполняет предписания.
Что делать, если проверка внеплановая?
Внеплановая проверка проводится в форме документарной проверки и (или) выездной проверки.
О проведении внеплановой выездной проверки юридическое лицо (индивидуальный предприниматель) уведомляется органом государственного контроля (надзора) не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом. На практике при проведении проверки по тематике персональных данных срок уведомления больше (от 10 дней до 1 месяца).
К уведомлению, как правило, прикрепляется приказ о проведении проверки, перечень документов, необходимых для предоставления регулятору, устанавливается срок. Во всем остальном порядок проведения проверки и ее форма (документарная либо выездная) схожи с плановой. Иными словами, отличие заключается только в сроке и порядке уведомления о контрольно-надзорном мероприятии, а соответственно, основной проблемой будет подготовка недостающих документов и отсутствие времени на сбор необходимой информации и консультации с экспертами, имеющими опыт прохождения подобных проверок.
При этом следует отметить, что выполнение хотя бы части вышеперечисленных требований существенно увеличивает вероятность пройти все регламентные процедуры без предписания и (или) штрафа.
В случае проверки Роскомнадзором этот перечень необходимо дополнить:
- Договоры, одной из сторон которых является субъект персональных данных. Например, трудовой договор: желательно, чтобы в нем было согласие на обработку персональных данных.
- Письменное согласие субъектов персональных данных, в том числе работников, на обработку их персональных данных (резюме, анкета, трудовой договор).
- Письменное согласие на обработку биометрических и (или) специальных персональных данных (если они обрабатываются).
- Наличие письменного согласия на трансграничную передачу данных (если передаются).
- Согласие субъекта на передачу его данных третьему лицу (если оператор поручает обработку третьему лицу).
- Документы, устанавливающие порядок уничтожения и обезличивания персональных данных. Например, «Инструкция по делопроизводству», «Инструкция по конфиденциальному делопроизводству».
- Типовые формы документов, характер которых предполагает включение в них персональных данных (бланки согласий, бланки трудовых договоров, анкеты сотрудников, клиентов и т.п.).
- Документы, устанавливающие места хранения материальных носителей персональных данных и порядок их хранения («Инструкция по конфиденциальному делопроизводству» или «Инструкция по режиму безопасности в организации»).
- Локальные документы, регламентирующие порядок и условия обработки персональных данных работников, кандидатов на замещение вакантных должностей, ведение кадрового резерва (при наличии), а также документы, подтверждающие факт ознакомления работника с локальными документами, регламентирующими порядок и условия обработки его персональных данных. Например, «Положение о защите персональных данных сотрудников с листами ознакомления».
Что такое персональные данные
Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.
Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.
Важно! Если согласия нет, могут последовать наказания – штрафы, блокировка сайта, приостановка работы, отзыв лицензии.
Особенности подготовки к проверке
Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.
Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:
- Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
- Проверка соответствия деятельности информации, прописанной в едином реестре.
- Назначение лица, ответственного за работу с ПД.
- Составление Политики фирмы в отношении обработки ПД.
- Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
- Проверка правильности хранения документов, ограниченности доступа к ним.
- Проверка системы безопасности: наличие замков и сейфов.
При каких обстоятельствах можно оспорить результаты проверки
Повод для обжалования — любое нарушение сотрудником Роскомнадзора правил, предписанных Постановлением. Ревизоры не показали приказ о проверке, не пускали вас в помещение и не давали высказаться, превысили допустимые сроки проверки? Все это достаточные основания.
Кроме того, вы можете подать жалобу, если РКН запретил вам работать с персональными данными, а вы уверены, что ничего не нарушали.
| Пример
Подбирая сотрудников, организация публикует вакансии на работных сайтах, а принятые резюме хранит на рабочих компьютерах в HR-отделе. Проверяющий заключил, что компания нарушила требования по защите персональных данных, поскольку не сообщила ведомству, что работает с личными сведениями таким способом. Однако суд с ведомством не согласился и вынес решение в пользу компании. Суд пояснил, что правоотношения между соискателем и потенциальным работодателем регулирует закон о занятости населения. Согласно ему, работодатели должны помогать гражданам в трудоустройстве, поддерживая госполитику обеспечения работой населения. При этом можно брать на работу соискателей, непосредственно обратившихся в организацию, на равных с присланными службой занятости. Таким образом, работодатель имеет право обрабатывать и хранить личные данные соискателей при наличии их письменного согласия. |
- Мораторий на проверки малого и среднего бизнеса продлили на 2023 год. Но мера не распространяется на предприятия из групп высокого и чрезвычайно высокого риска.
- Бизнес освободили от плановых контрольных мероприятий. Внеплановые проверки будут проводить по жалобам клиентов или сотрудников.
- Мораторий не распространяется на меры постоянного государственного контроля.
- Налоговая служба продолжит камеральный и выездной контроль. До 03.03.2025 г. от проверок освободили только ИТ-компании.
- Ведомства продолжат проводить профилактические визиты, по результатам которых бизнес не штрафуют за нарушения. Однако, оставляют предписания и обязывают устранить недочёты.
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Частый гость по персональным данным
В связи с тем, что наиболее частыми являются проверки со стороны Роскомнадзора, рассмотрим более детально именно это направление.
Проверка проводится в отношении документов и локальных актов оператора персональных данных, указанных в ст. 18.1. Федерального закона «О персональных данных» от 27.07.2006 N 152- ФЗ., а также в отношении деятельности оператора и информационных систем персональных данных оператора, касающихся обработки.
Проверка Роскомнадзора может быть как плановая, так и внеплановая. Проверить, есть ли Организация в плане Роскомнадзора на проверку в текущем году, можно на сайте ведомства . Срок проведения плановой проверки не может превышать 20 рабочих дней, но может быть продлена еще на 20 дней.
Как показывает практика, процент проведения внеплановых проверок растет, о проверке нельзя узнать с достаточным запасом времени, как следствие, нельзя должным образом подготовиться. Срок проведения внеплановой проверки не может превышать 10 рабочих дней, однако может быть продлена еще на 10 дней. Решение о проведение внеплановой проверки может быть принято, если, например, на Организацию поступали жалобы со стороны субъектов ПДн.