Защита персональных данных как пройти проверку ркн
С этого года все работодатели должны быть готовы к проверкам соблюдения ими правил обработки персональных данных. Такие проверки будет проводить Роскомнадзор. Уже готов и вступил в силу регламент данных ревизий. В связи с этим предлагаем ознакомиться с типичными нарушениями, которые могут быть выявлены при подобных проверках, с тем, чтобы не допустить их у себя.
Регламент проведения проверок обращения с персданными
- Правительство РФ утвердило правила проверок организаций на предмет того, не нарушают ли они закон при обработке персональных данных своих сотрудников и клиентов-физлиц.
- Объект проверки
- Проверять будут юрлиц и ИП, являющихся операторами персданных.
- Таким образом, контролю подвергнут работодателей, поскольку они являются операторами персданных.
- Виды проверок
- Ревизии могут проходить в виде:
- плановых проверок – выездных и документарных;
- внеплановых проверок – выездных;
- мероприятий без взаимодействия инспекторов с операторами.
Плановые проверки
Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.
Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.
В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.
Внеплановые проверки
Проводятся на основании:
- обращений граждан;
- по требованию прокурора;
- в случае неисполнения оператором предписания.
Уведомление компании
Роскомнадзор должен уведомить фирму:
- о проведении плановой проверки – не позднее чем за 3 рабочих дня:
- о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.
Способ уведомления – направление копии приказа о проведении проверки (либо-либо):
- заказным письмом с уведомлением о вручении;
- электронным документом с усиленной квалифицированной электронной подписью на электронную почту.
Что будут проверять
Инспекторы проверят:
- документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 закона о персданных;
- обработку персданных на предмет ее соответствия установленным требованиям;
- информационные системы персданных.
- Мероприятия без взаимодействия с компанией
- Такие мероприятия проводятся на основании заданий на их проведение, утверждаемых руководителем органа Роскомнадзора.
- К данным мероприятиям относится контроль за соблюдением компанией требований при размещении информации в сети Интернет и СМИ, а также в федеральных государственных информационных системах.
Постановление Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»
Примечание редакции:
По итогам таких проверок могут накладываться штрафы по ст. 13.11 КоАП РФ: санкции на юрлиц – от 30 до 75 тыс. рублей.
Что работодатель должен и не должен знать о работнике
В Трудовом кодексе РФ нет конкретного перечня сведений, относящихся к персональным данным работника. Равно как и нет его и в Законе «О персональных данных». В этом документе есть только их Определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
Соответственно, в законодательстве отсутствует список сведений, которые работодатель вправе собирать и хранить в отношении каждого работника.
Вместе с тем в ст. 65 ТК РФ приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу. По этим документам можно понять, какие сведения о работниках компания получает, и соответственно, имеет право обрабатывать, а каких сведений в ее распоряжении оказаться не должно.
Что у компании должно быть
Итак, при приеме на работу работодатель получает персональные данные работника, а именно:
- Ф.И.О., возраст, место жительства, семейное положение (из паспорта);
- трудовой стаж и предыдущие места работы (из трудовой книжки);
- регистрация в органах ПФР (из карточки СНИЛС);
- отношение работника к воинскому учету (из документов воинского учета);
- образование и квалификация (из дипломов, аттестатов, свидетельств об образовании);
- судимость (из справки о ее наличии или отсутствии);
- употребление наркотиков (из справки, подтверждающей или опровергающей этот факт).
Чего быть не должно
Требовать от работника другие документы кодекс запрещает, поэтому иных персональных данных сотрудника у организации быть не должно – например, свидетельств о рождении и браке (по крайней мере, при приеме на работу они не требуются).
Также компания не вправе настаивать на том, чтобы сотрудник при заполнении личной карточки (форма утверждена Постановлением Госкомстата РФ от 05.01.2004 № 1 и, кстати, уже давно необязательна), указывал в ней сведения о составе своей семьи, местах рождения и работы своих родственников, номера их телефонов и так далее.
https://www.youtube.com/watch?v=AA8QAoWl-qc\u0026pp=ygVe0JfQsNGJ0LjRgtCwINC_0LXRgNGB0L7QvdCw0LvRjNC90YvRhSDQtNCw0L3QvdGL0YUg0LrQsNC6INC_0YDQvtC50YLQuCDQv9GA0L7QstC10YDQutGDINGA0LrQvQ%3D%3D
Исключение сделало только для иностранцев и госслужащих. Для них дополнительные документы для трудоустройства определены отдельными федеральными законами.
Кроме того, фирма не должна хранить копии документов, перечисленных в ст. 65 ТК РФ. В кодексе сказано, что оригиналы предоставляются работодателю лишь при заключении трудового договора. Это значит, что после занесения сведений в договор оригинал возвращается, а снимать копии и хранить их кодекс не разрешает.
Статья Проказина Е.А., редактора-эксперта журнала «Время Бухгалтера»
Положение о порядке обработки персональных данных необходимо
Трудовая инспекция выдала обществу предписание устранить нарушения трудовых прав работников.
Среди них – принять локальный акт, устанавливающий порядок обработки персональных данных сотрудников предприятия.
Общество оспорило предписание, сославшись на то, что вывод о нарушении трудовых прав работников является надуманным. В организации числится лишь один работник, и он же является директором ООО. Выходит, что трудовая инспекция одновременно и защищает права работника, и привлекает его же к ответственности, что недопустимо.
Суд не внял этому аргументу и решил, что в соответствии со ст. 86‒88 ТК РФ у каждого работодателя должен иметься локальный нормативный акт о порядке обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Поэтому у государственного инспектора труда имелись основания для выдачи предписания.
Апелляционное Определение Московского городского суда от 06.05.2014 № 33-15735/14
Копии паспортов, военных билетов и свидетельств о рождении хранить нельзя
Роскомнадзор по итогам проверки банка выдал ему предписание устранить нарушения при работе с персональными данными сотрудников. А именно – не хранить в личных делах копии:
- паспортов;
- военных билетов;
- свидетельств о рождении детей;
- свидетельств о браке.
- Банк обосновал необходимость копий тем, что они нужны ему во исполнение требований действующего законодательства по обеспечению актуализации сведений кадрового и воинского учета.
- Кроме того, один из работников представил суду объяснения, что он осознанно и добровольно передал банку на хранение копии паспорта, военного билета, свидетельств о браке и о рождении ребенка.
- Однако суд оставил предписание в силе.
- Для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом паспорта, в котором содержатся все необходимые сведения.
- Хранение копий указанных документов превышает объем обрабатываемых персональных данных работника, действующим законодательством не предусмотрено, нарушает права и свободы гражданина, снижает уровень прав и гарантий работника и противоречит федеральному законодательству.
- Более того, у банка отсутствуют законные основания для обработки специальной категории персданных – национальности сотрудников, которая указана в свидетельствах о рождении и браке.
Что касается доводов банка, то хранение и дальнейшее использование копий паспортов и военных билетов, полученных от сотрудников банка при трудоустройстве, не только не обеспечивает точность и актуальность персональных данных, а напротив, может привести к использованию недостоверных сведений. Используя в качестве источников информации такие копии документов, банк не учитывает реальное состояние указанных в них сведений, что свидетельствует о признаках нарушения ст. 5 закона № 152-ФЗ.
Постановление ФАС Северо-Кавказского округа от 21.04.2014 № А53-13327/2013
Примечание редакции:
Другая компания пошла еще дальше – не только хранила копии трудовых книжек, но и выдавала их сотрудникам за плату. В правилах внутреннего трудового распорядка было прямо прописано, что работник вправе получить заверенную копию трудовой книжки. Только один экземпляр – бесплатно, а второй и последующие – за установленную плату.
Трудовая инспекция оштрафовала фирму за это.
Та оспорила штраф, ссылаясь на то, что нарушение если и есть, то малозначительное, ведь плата была невысока и не причинила сотрудника большого ущерба.
Суд решил, что размер платы значения не имеет. Компания в принципе не имела права вводить платную выдачу копий трудовых книжек, что противоречит трудовому законодательству (Постановление Московского городского суда от 29.08.2011 № 4а-1743/11).
Вместе с тем Роструд считает, что с письменного согласия сотрудников компания вправе хранить копии их документов («Доклад с руководством по соблюдению обязательных требований, дающих разъяснение, какое поведение является правомерным, а также разъяснение новых требований нормативных правовых актов за 2 квартал 2017 г.»).
Что проверяет Роскомнадзор по персональным данным?
В предыдущем материале мы рассказали, что интересует ФСБ при проверке, связанной с персональными данными. Сейчас мы поговорим о Роскомнадзоре. Если Федеральную Службу Безопасности по большей части интересует технический вопрос, как хранятся, обрабатываются персональные данные, то Роскомнадзор акцентирует свое внимание на организационных мерах.
Получить оценку защищенности
Список основных документов, содержащих правовые основания для проверки выглядит следующим образом:
Что проверяют?
Проверяют условия обработки персональных данных, делая упор исключительно на состоянии организационных мер по защите информации. В технические меры не углубляются, хотя обязательно посмотрят все информационные системы персональных данных в организации. Накануне проверки срочно устанавливать пароли на всех компьютерах нет особой необходимости, на это обращать внимания не будут.
А конкретнее?
Если конкретнее, то стоит отметить, что в разных регионах специфика проверок разная. В этом мы убедились из опыта общения с различными учреждениями, «коллегами по цеху» и непосредственно представителями проверяющего ведомства. Единую таблетку от всех проверок выписать невозможно, однако сформулировать ряд рекомендаций – вполне.
Итак, в базе Роскомнадзора должны быть сведения об операторе персональных данных, то есть, о вас. Есть исключения, но, если к вам идет проверка – значит, вы, скорее всего, у них в базе числитесь. Сведения должны быть актуальными.
Ваш сайт должен соответствовать требованиям законодательства. То есть, если у вас есть разделы «обратная связь», «обращение граждан» или другие подобные формы, на которых вы собираете любые данные о физических лицах, то вы обязаны взять с этого лица согласие на обработку его персональных данных.
В настоящее время идут споры о том, является ли простановка галочки в чек-боксе юридически значимым действием, однако, сами проверяющие относятся к этому вполне лояльно. Кроме того, законодательство обязывает организацию разместить на сайте «Политику в отношении обработки персональных данных».
Желательно размещать ее в таком месте, чтобы ее можно было найти как можно проще.
Что касается списка документов по защите персональных данных для проверки Роскомнадзора, то можно выделить следующие основные группы документов:
- По неавтоматизированной обработке персональных данных. Включают в себя перечень мест хранения бумажных носителей персональных данных, лиц, имеющих к ним доступ, и положение о неавтоматизированной обработке персональных данных;
- О приеме обращений субъектов персональных данных. Включает в себя положение о порядке приема обращений, набор шаблонов заявлений и обращений по этому вопросу;
- Для работы отдела кадров. Включают в себя согласия на обработку персональных данных работников и журнал ознакомления сотрудников с положениями по защите персональных данных в организации;
- По установлению уровня защищенности для информационных систем персональных данных. Включают в себя акты установления уровня защищенности информационных систем персональных данных и положения о мерах по обеспечению принятых уровней защищенности;
- О назначении ряда ответственных сотрудников по работе с персональными данными. Включают в себя назначения ответственного за организацию обработки персональных данных, ответственного за обеспечение контролируемой зоны, ответственного за безопасность информации, ответственных за обеспечение конфиденциальности персональных данных во всех подразделениях;
- По защите от несанкционированного доступа. Включают в себя положения о порядке устранения последствий от несанкционированного доступа, назначения ответственного за восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- По правилам уничтожения персональных данных. Включают в себя положения об уничтожении персональных данных, назначение комиссии по уничтожению персональных данных, акты уничтожения материальных носителей персональных данных;
- О разграничении доступа к персональным данным. Включают в себя списки сотрудников, допущенных до обработки персональных данных, списки сотрудников, допущенных в кабинеты и/или информационные системы персональных данных, положения о разграничении прав доступа, матрицу доступа, инструкции пользователям и администраторам;
- По работам с персональными данными. Перечень носит объемный характер и, в общем случае, содержит множество инструкций, регламентов и правил, описывающих хранение и передачу персональных данных внутри организации.
Безусловно, не стоит забывать про модель угроз. Сам документ проверяющие из РКН не смотрят, но им важно его наличие. Модель угроз – это вотчина ФСТЭК, но это тема совершенно другой статьи.
А штрафы?
Штрафы есть. Они определены Статьей 13.11 КоАП. В отличие от Проверки ФСБ, Роскомнадзор предпочитает накладывать штраф не на физическое лицо, а на юридическое. Стоит отметить, что штрафы суммируются. Так что сумма наказания вполне может достигать размера в 150 000 рублей.
Чтобы избежать наложения таких штрафов, мы рекомендуем обращаться к профессионалам. Как минимум, с целью проведения обследования состояния вашей системы документов и получения рекомендаций по их доработке. Это, в любом случае, поможет вам лучше разобраться в состоянии дел по защите персональных данных в вашей организации.
Вывод
Проверку можно легко пройти, если на вас нет «зуба» у проверяющих, и вы подготовились к их приходу, т.е. собрали необходимые документы, сделали и заверили копии, а также подготовили сотрудников, чтобы те не говорили лишнего. О том, как правильно подготовить сотрудников к предстоящим проверкам регуляторов, мы обязательно напишем в следующих статьях.
И по традиции, полезность! Мы подготовили для вас комплект документов, которые понадобятся при проверке со стороны Роскомнадзора, ну или просто если вы решите привести в порядок организационно-разрешительную документацию по защите персональных данных на предприятии.
Вы получите следующие шаблоны документов:
- Приказ об утверждении правил рассмотрения запросов субъектов персональных данных;
- Приказ о порядке уничтожения персональных данных.
Защита персональных данных: как пройти проверку РКН
25 июня
4199
#CNT# data-template-html-inactive=В избранное #CNT#>
Личностные сведения граждан оберегает Федеральный закон 152 «О персональных данных». В феврале 2019 года вышло Постановление, которое вносит изменения и уточнения в процедуру проверок операторов персональных данных.
Оператор персональных данных — это любая организация или физлицо, которое организует или производит обработку персональных данных, а также определяет цели обработки, конкретные действия и состав личностных сведений.
Таким образом операторы персональных данных — это абсолютно все организации и предприниматели-работодатели, так как в процессе работы они обрабатывают личностные сведения сотрудников, а некоторые — и клиентов.
- Соблюдение Федерального закона 152 «О персональных данных».
- Документы, которые регламентируют в организации обработку личных сведений.
- Программное обеспечение и компьютеры, которые применяются для работы с данными.
Проверки могут быть плановыми и внеплановыми. При этом плановые бывают:
- Выездными — инспектор приезжает на место работы оператора или по адресу регистрации бизнеса.
- Документарными — ведомство запрашивает документы на проверку по почте.
При этом Роскомнадзор может в любой момент запросить у оператора пояснения по поводу претензии.
Это произойдет, если в ведомство обратится любой человек, которому показалось, что его личная информация недостаточно защищена, ее кому-то передают без его ведома или хранят, несмотря на просьбу об удалении. Такое обращение ведомства НЕ является документарной проверкой и не требует внесения в план.
Внеплановые проверки теперь могут быть только выездными, документарными — нет.
Также выделяют наблюдение без взаимодействия с оператором. В этом случае сотрудники РКН никак не уведомляют организацию или ИП, что их проверяют, пока (если) не возникнут нарекания.
Проходят согласно графику каждые три года с момента госрегистрации оператора в качестве юрлица/ИП или завершения последней плановой проверки. Расписание, в котором можно найти свою организацию, выложено на сайте Генпрокуратуры.
В некоторых ситуациях ревизию устраивают раз в два года. Это затрагивает тех, кто:
- Обрабатывает персональные данные в государственных информационных системах.
- Собирает биометрическую информацию. Например: рисунок радужки глаза, отпечатки пальцев, запись голоса и т.п.
- Собирает специальные категории данных. Это личная информация, которую без особых на то оснований компании и ИП узнавать не имеют права. Например, национальность, религиозные взгляды, заболевания.
- Передает личную информацию за границу.
- Обрабатывает личные сведения по поручению зарубежных организаций, которые не оформлены на территории РФ.
Роскомнадзор должен предупредить организацию о плановой проверке не позже чем за три рабочих дня. Оператор получит заказное письмо с уведомлением о вручении или электронное письмо на e-mail.
Не позже, чем за три рабочих дня до начала проверки РКН запросит документы. Отправьте их по почте или электронным письмом в течение пяти рабочих дней. Учитывайте, что датой сдачи документов считается не день отправки, а день, когда в ведомстве поставили штамп о получении. Если не уложитесь в срок, ведомство назначит внеплановую ревизию.
Для проведения проверки у ревизора есть 20 дней. Если он не уложится в этот срок, то может взять дополнительные 20 дней, но только единожды.
Если у оператора филиалы в нескольких регионах, длительность проверки устанавливается отдельно по каждому представительству, при этом максимальный общий срок — 60 рабочих дней.
Совет Следите за сроками. Если ревизия затянулась, можете подать жалобу на инспектора в Роскомнадзор. |
По итогам работы ревизор выдаст акт проверки. В нем будут указаны нарушения или заключено, что их нет. Свой экземпляр вы сможете получить в течение 10 дней со дня подписания акта.
Если инспектор обнаружит ошибки или неточности, пришлет письмо. Дать ответ с пояснениями нужно будет в течение трех дней, иначе сотрудники ведомства придут с внеплановой проверкой.
Если проверяющий выявит нарушения, то вместе с актом пришлет предписание с указаниями, что нужно исправить. Там же будет прописан срок в пределах полугода со дня выдачи. Отсутствие нарушений нужно будет подтвердить документами. Если оператор не исправится или не пришлет документы, ревизор появится с проверкой вне графика.
Роскомнадзор может запретить работать с личной информацией до устранения нарушений. Если оператор проигнорирует запрет, его могут оштрафовать.
Оператор должен предоставить документы по запросу РКН в течение пяти рабочих дней. Если окажется, что в этих документах есть ошибки, противоречивые или неясные моменты или они не соответствуют информации, которой располагает ведомство, у оператора запросят пояснения. Он должен предоставить их в течение трех рабочих дней по почте или e-mail.
Прийти с ревизией вне графика просто так нельзя. Для нее должны быть основания:
- Роскомнадзор нашел у оператора нарушения в результате плановой проверки, предписал устранить, а оператор этого не сделал или сделал только частично.
- Ведомство нашло нарушения по защите персональных данных в процессе наблюдения за оператором. Например, инспектор заметил, что на сайте неправильно составлено соглашение об обработке личной информации.
- В ведомство обратились граждане и предоставили документы, подтверждающие факт нарушения их прав со стороны оператора.
- Поручение Президента или Правительства РФ.
- Требование прокурора.
Пример |
Проверка Роскомнадзора: как к ней подготовиться, чтобы избежать штрафов
Как подготовиться к проверке Роскомнадзора и избежать штрафа. Что проверяет Роскомнадзор и как часто – узнайте в нашей статье.
С 27 июля 2006 года в Российской Федерации действует Федеральный закон № 152-ФЗ «О персональных данных». Этот закон регулирует деятельность многих организаций в стране, а за исполнением требований законодательного акта следит Роскомнадзор. На практике многие организации узнают о хитросплетениях законодательства непосредственно во время аудита, который проводит контролирующий орган.
Как часто проводятся проверки Роскомнадзора
Федеральная служба по надзору в сфере связи проводит несколько видов аудита. Проверки можно разделить по срокам:
Плановые проверки проводятся по утвержденному Плану, опубликованному на сайте регионального Управления Роскомнадзора в Плане деятельности управления. При плановом аудите служба присылает уведомление о проверке не позднее чем за 3 дня до ее начала.
Внеплановый аудит, как правило, назначается после выявления нарушений в деятельности организации, которая осуществляет сбор и обработку персональных данных пользователей, или жалоб пользователей на незаконную обработку данных. О проведении такой проверки федеральная служба уведомляет всего за 24 часа до ее начала.
Начиная с 2016 года, Роскомнадзор внедрил практику систематического наблюдения. Это значит, что сайт организации – оператора связи – с определенной частотой проверяется на соответствие требованиям № 152-ФЗ.
Федеральная служба не публикует список организаций, которые будут подпадать под интерес в выделенный период, но разделяет сферы деятельности, которые находятся под пристальным контролем: это государственные и муниципальные органы, учреждения образования, финансово-кредитные организации, организации здравоохранения и пр.).
Если федеральная служба обнаруживает нарушения на сайте в ходе систематического наблюдения, то выносит предписание об их устранении в положенный срок. Кроме того, может быть назначена дополнительная внеплановая проверка.
Аудит может быть документарным. Это значит, что федеральная служба по надзору в сфере связи запрашивает список документов, копии которых требуется предоставить в территориальное управление Роскомнадзора.
Нередко проверка осуществляется в формате инспекционного визита.
Что проверяет Роскомнадзор
Стоит выделить несколько ключевых вопросов, которые во время аудита обращают на себя внимание контролирующего органа:
- Наличие Уведомления об обработке персональных данных и соответствие указанной в нем информации. Роскомнадзор отслеживает актуальность Уведомления, поэтому в случае смены цели обработки персональных данных или ответственного лица необходимо предупреждать федеральную службу.
- Соответствие документа о защите персональных данных требованиям законодательства. Их достаточно много: в организации должны регулярно проводиться внутренние мероприятия по проверке и защите персональных данных, данные должны уничтожаться по достижении цели их получения и обработки, а доступ к помещениям и носителям информации должен быть контролируемым. Причем все эти действия должны быть подкреплены документально.
- Соответствие формы согласия на обработку персональных данных.
- Наличие разрешения на обработку специальных категорий персональных данных.
- Соблюдение условий Положения о локализации хранения персональных данных.
- Осведомленность сотрудников о положениях законодательства РФ о работе с персональными данными и локальными актами организации.
Как готовиться к проверке персональных данных Роскомнадзора
Так как аудит бывает плановым и внеплановым, организациям рекомендуется всегда быть наготове. Кроме того, есть несколько мер, которые помогают подготовиться и пройти аудит.
- Можно прибегнуть к помощи сторонних специалистов, которые осуществляют сбор необходимой информации, разработку и утверждение пакета документации. Этот метод подходит для тех, кто только начинает работу. В законодательной базе регулярно фиксируются изменения, а федеральная служба строго следит за соблюдением требований законодательства.
- Самостоятельная подготовка к аудиту не всегда проходит успешно, так как отсутствие квалифицированных специалистов и знаний тонкостей законодательства приводят к ошибкам.
- Использование специальных сервисов помогает существенно снизить риски ошибок. Например, сервис проверки контрагентов позволяет провести комплексную проверку на благонадежность и снижает потенциальные угрозы для бизнеса.
Подготовка к аудиту Роскомнадзора выглядит следующим образом:
- Внутренняя проверка, которая поможет проанализировать процесс обработки персональных данных в организации. Выделяются список информационных систем, в которых осуществляется процесс сбора и обработки персональных данных, цели обработки, категории данных и субъектов, данные которых собирает организация.
- Назначение лиц, ответственны за организацию и процесс сбора персональных данных и их безопасность.
- Разработка и утверждение документации, закрепляющей внутренний порядок работы с персональными данными.
- Составление и направление уведомления о намерении осуществлять обработку и сбор данных в Роскомнадзор.
Специальные инструменты, в число которых входит и сервис проверки контрагентов, упрощают процесс сбора и обработки персональных данных и повышают безопасность этого процесса для бизнеса.
При выявлении нарушений федеральная служба по надзору в сфере связи оформляет акт с предписание об устранении и передает информацию в суд. Нарушения в области персональных данных караются штрафами от Роскомнадзора в размере до 200 000 рублей должностным лицам, до 6 000 000 рублей – организациям.
Успешно пройти проверку вполне реально, для этого важно разработать полный пакет документации, регулярно его актуализировать и изучать успешный опыт прохождения аудита сторонними организациями, работающими в смежных сферах.
Как уведомить Роскомнадзор об обработке персональных данных: ответ эксперта
- Главная →
- Журнал →
- Сотрудники →
- Отчетность
25 августа 2022 160 568 166 Вопрос
Оператор персональных данных (ОПД) должен уведомить Роскомнадзор о своем намерении обрабатывать персданные до начала их обработки (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). С 1 сентября 2022 года уведомлять не нужно только в трех случаях (Федеральный закон от 14.07.2022 № 266-ФЗ):
- оператор обрабатывает ПД без автоматизации;
- ПД включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
- обработка ПД в случаях, предусмотренных законодательством РФ о транспортной безопасности.
До начала осени 2022 года из этого правила было девять исключений. Например, не нужно было уведомлять РКН об обработке ПД сотрудников в рамках трудовых правоотношений, ПД, состоящих только из фамилии, имени, отчества, либо личной информации, необходимой для оформления разового пропуска посетителю.
Это означает, что подавляющее большинство ОПД, в том числе все работодатели, должны будут уведомить Роскомнадзор. До выполнения этой обязанности они не имеют права работать с личной информацией граждан.
Форма уведомления приведена в приложении 1 к Методическим рекомендациям Роскомнадзора (Приказ Роскомнадзора от 30.05.2017 № 94). Уведомление нужно направить одним из трех способов:
- В бумажном виде. Для этого нужно заполнить форму на сайте Роскомнадзора, а затем распечатать, подписать и направить письмом в адрес территориального отделения Роскомнадзора по месту своей регистрации.
- Через сайт Роскомнадзора с использованием усиленной квалифицированной электронной подписи.
- В личном кабинете на портале Госуслуг. Для этого нужна подтвержденная учетная запись.
31 августа 2022 года Роскомнадзор сообщил на своем сайте, что предельный срок для подачи уведомления не определён. 1 сентября не является крайним сроком. Рекомендуем не откладывать подачу надолго и сделать это в ближайшее время.
Роскомнадзор в течение 30 дней с даты поступления уведомления вносит информацию в реестр операторов персональных данных. Если вы отправляли бумажное, а не электронное письмо с УКЭП, дата будет отсчитываться с момента его получения территориальным отделением.
Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки
Отчитаться
Уведомление Роскомнадзора — разовая акция. Если ваша компания уже есть в реестре, подавать заявку повторно не нужно. Но вам следует проверить сведения, которые есть в Роскомнадзоре.
В частности, категории ПД и категории субъектов ПД, которые вы указывали в ранее поданном уведомлении.
Если какие-то виды личной информации отсутствуют, например, из трудовых правоотношений, то нужно уведомить Роскомнадзор об изменении сведений (п. 7 ст. 22 152-ФЗ).
Информационное письмо можно направить теми же способами, что и уведомление. На это отведено 10 рабочих дней с даты возникновения изменений. В случае с 266-ФЗ сроки надо отсчитывать с 1 сентября 2022 года.
Как пройти проверку в Роскомнадзоре и стать оператором персональных данных? — Aqua Delivery на vc.ru
Если Вы получили уведомление Роскомнадзора о проведении проверки в Вашей компании — не спешите паниковать.
{«id»:105365,»gtm»:null}
Мы участвовали уже в нескольких и знаем весь процесс изнутри. Рассказываем, зачем становится оператором персональных данных, как избежать штрафов и пройти всю процедуру максимально легко.
Персональные данные — это любая информация, с помощью которой можно идентифицировать личность: например, ФИО, дата рождения, образование, доходы или даже семейное положение.
Оператор — человек, компания или государственный орган, который собирает, хранит, обрабатывает и совершает иные действия с персональными данными.
Любой контакт с человеком, в том числе в интернете, позволяющий однозначно определить кто это — и вот вы уже владелец персональных данных в лице оператора.
И кстати, один из самых больших штрафов предусмотрен как раз за сбор личной информации гражданина без его согласия.
С терминологией определились. Теперь поговорим подробнее, как официально стать оператором персональных данных:
1 этап: предоставить перечень запрашиваемых документов.
Они должны быть заверены подписью руководителя и печатью организации. Также, необходимо приложить сопроводительное письмо с указанием списка предоставляемых документов и, по возможности, их сканированные образцы.
Подготовку лучше поручить специалисту с юридическим образованием или компании, которая занимается электронной отчетностью и документооборотом. Если решили формировать самостоятельно — будьте внимательны, можно получить множество предписаний.
Помимо основного пакета компании, нужно предоставить еще несколько дополнительных документов:
— Приказ о назначении комиссии;
— Приказ о криптографической защите;
— Приказ о контролируемой зоне;
— Приказ о проведении работ по защите ПДн;
— Приказ о допуске сотрудников к ПДн;
— Приказ о назначении ответственных;
— Приказ об утверждении форм документов;
— Приказ об учете сейфов, металлических шкафов и ключей от них;
— Должностные инструкции;
— Журнал прохождения инструктажей.
2 этап: сформировать пакет документов по работе с личной информацией.
Сотрудники, работающие с персональными данными, должны пройти инструктаж. Им нужно знать правила обработки и хранения личных данных клиентов. После чего, поставить подпись в журнале прохождения инструктажей.
Не забудьте про политику конфиденциальности — она должна быть отражена на сайте и всех ресурсах, где собираются персональные данные. Если у вас есть формы, где пользователи оставляют свои данные, под ними обязательно нужно поставить фразу «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то сделайте чекбокс и с ним.
И еще момент, политика конфиденциальности должна быть зарегистрирована приказом и зафиксирована в документах.
3 этап: подать заявление, чтобы официально стать оператором персональных данных.
Для этого, на сайте Роскомнадзора www.rkn.gov.ru оформите уведомление об обработке персональных данных.
Небольшой лайфхак: всю заполненную информацию скопируйте себе в отдельный документ, т.к. сайт может подвисать, и Вам придется заполнять все сначала.
Форма лучше всего работает на компьютерах с операционной системой Windows и заполнять лучше всего в браузере Internet Explorer. Там форма работает быстрее и реже выдаёт ошибки.
ВАЖНЫЙ МОМЕНТ: после заполнения документа и выводе на печать — не закрывайте окно формы! Там прописывается номер уведомления и ключ. Запишите их себе — при печати может произойти ошибка и придется начинать все сначала.
4 этап: посетить приемную Роскомнадзора и зарегистрировать уведомление лично.
Подготовьте уведомление в двух экземплярах: одно Вы оставите там, одно, с подписью секретаря или инспектора, заберете себе.
Обязательно должно быть отражено: входящий №, дата, подпись и расшифровка, кто принял уведомление.
Проверка занимает от 1 до 7 дней, после чего, Вам укажут на ошибки, выпишут предписания и дадут время на их устранение. Но штрафа удастся избежать, т.к. основной перечень необходимых документов будет у Вас на руках.
Отнеситесь к этому серьезно — штрафы составляют несколько сотен тысяч рублей.
Если остались вопросы, или понадобится помощь в прохождении проверки — команда Aqua Delivery готова Вам в этом помочь. Напишите нам в личные сообщения или оставляйте заявку на сайте aqua-delivery.ru.
Давайте поделимся опытом — напишите в х, была ли у Вас проверка, как все прошло или как Вы к ней готовитесь?
#роскомнадзор #маркировка #проверка
Проверка Роскомнадзора 2023. План. Что проверяют
Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.
Полномочия Роскомнадзора
У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:
- Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
- Надзор над предоставлением услуг в области связи.
- Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
- Ведение информационной системы, реестров операторов связи.
- Регистрация СМИ.
- Защита информации, являющейся государственной тайной.
Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Что именно будут проверять
Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.
СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.
Роскомнадзор контролирует следующие направления:
- Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
- Системы, осуществляющие обработку данных (ПК и программы).
- Наличие локальных нормативных актов.
- Исполнение положений этих актов.
- Сайт организации.
Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.
Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:
- Учредительная документация (ИНН, устав и прочее).
- Уведомление о том, что фирма работает с ПД.
- Перечень ПД, сбор которых осуществляется.
- Перечень работников, у которых есть доступ к данным.
- Приказ о допуске таких сотрудников к ПД.
- Инструкции для специалистов, которые работают с данными.
- Положение об ответственности сотрудников за разглашение ПД.
- Документ об обработке ПД.
- Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
- Соглашение о неразглашении ПД.
- Письменное согласие лиц на обработку.
- Журналы инструктажей относительно мер безопасности.
- Журналы учета носителей сведений.
Роскомнадзор также может затребовать и другие документы.
Продолжительность проверки
Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней.
Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников.
Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.
Особенности подготовки к проверке
Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением.
Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее.
Однако вариант с наймом сотрудника актуален только для больших предприятий.
Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:
- Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
- Проверка соответствия деятельности информации, прописанной в едином реестре.
- Назначение лица, ответственного за работу с ПД.
- Составление Политики фирмы в отношении обработки ПД.
- Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
- Проверка правильности хранения документов, ограниченности доступа к ним.
- Проверка системы безопасности: наличие замков и сейфов.
Для подготовки бумаг можно использовать специальные онлайн-сервисы.
Как осуществляется проверка
Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие.
Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней.
Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.
Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.
Результаты проверки
В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.
Можно ли обжаловать результаты проверки?
Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения.
Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции.
Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.