Как проводится проверка Роскомнадзора

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как проводится проверка Роскомнадзора». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.

Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.

В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.

Что проверяет Роскомнадзор?

Предметом государственного контроля являются:

1. Документы, характер информации в которых предполагает или допускает включение в них персональных данных.
2. Проверка сведений, содержащихся в уведомлении об обработке ПДн:
   • договоры с внешними организациями,
   • проездные документы и бронирование гостиниц при организации командировок,
   • добровольное медицинское страхование,
   • обеспечение телефонной связью,
   • заработная плата сотрудникам,
   • изготовление визитных карточек.

   Проверки Роскомнадзора: что нужно знать

   В первую очередь нужно изучить, какими документами регламентируются проверки. Список таких документов представлен ниже.

   • Постановление Правительства РФ от 16.03.2009 № 228. Здесь указана структура Роскомнадзора и его законные полномочия.
   • Постановление Правительства РФ от 29.06.2021 № 1046. Описывает порядок и правила поведения инспекционных проверок Роскомнадзором. Здесь же расписаны права и обязанности инспекторов контролирующего органа, а также операторов персональных данных. Указаны типы проверок, группы риска.
   • Приказ Минкомсвязи РФ от 14.11.2011 № 312. Это документ пригодится, если появилось желание оспорить результаты состоявшейся проверки Роскомнадзора.

   В каких случаях потребуется уведомление Роскомнадзора

   С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

   • получаемых и обрабатываемых в рамках трудового законодательства;
   • получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
   • относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
   • разрешенных физлицом для распространения;
   • включающих в себя только фамилии, имена и отчества физлиц;
   • необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

   Штрафы за неуведомление Роскомнадзора

   Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

   Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

   Что такое персональные данные

   Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.

   Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.

   Важно! Если согласия нет, могут последовать наказания – штрафы, блокировка сайта, приостановка работы, отзыв лицензии.

   Виды проверок соблюдения законодательства о персональных данных

   Ключевые моменты в положении о проверках, которые нужно учитывать предприятиям:

   1. Роскомнадзор проверяет две ключевые составляющие деятельности операторов ПД (п. 7 Положения по постановлению № 1046):
   • деятельность по обработке персональных данных самого оператора и третьих лиц, которые выполняют его поручения;
   • результаты деятельности оператора по разработке документов и локальных нормативов, направленных на обеспечение требований по ч. 1 ст. 18.1 Закона № 152-ФЗ.
   1. Предусмотрены профилактические мероприятия (п. 13 Положения), контрольно-надзорные мероприятия (п. 42 Положения).

   Указанная классификация основана на перечнях профилактических и контрольно-надзорных мероприятий, приведенных, соответственно, в ст. 45 и 56 Закона № 248-ФЗ. Профилактические мероприятия — это «мягкие» варианты взаимодействия регулятора и контролируемого лица, контрольно-надзорные — более «строгие». Возможно, что по итогам профилактического мероприятия будет начато контрольно-надзорное (ч. 4 ст. 45 Закона № 248-ФЗ).

   1. Частота и типы профилактических и контрольно-надзорных мероприятий привязаны к категории риска, присвоенной хозяйствующему субъекту (п. 10 Положения).

   Предмет проверки Роскомнадзора

   Сферы деятельности юридических лиц и ИП, надзор в которых осуществляет Роскомнадзор, перечислены в п. 5 положения, утвержденного постановлением Правительства РФ «О Федеральной…» от 16.03.2009 № 228. В соответствии с ним Роскомнадзор проводит проверки за соблюдением законодательства в различных сферах, в частности, таких как:

   • деятельность средств массовой информации, телеканалов, периодических печатных, электронных и других изданий;
   • информатизация и защита информации;
   • организация и работа радио и телевещания;
   • связь и массовые коммуникации;
   • организация и деятельность почтовых операторов;
   • обработка и защита персональных данных граждан.

   Что такое персональные данные

   Закон от 27.07.2006 № 152-ФЗ «О персональных данных» относит к ним любую личную информацию о физическом лице. Но конкретных указаний, какие сведения нужно считать личными, он не дает.

   Роскомнадзор в Методических рекомендациях, утвержденных приказом от 30.05.2017 №94 разъясняет, что к персональным данным относятся в частности:

   • паспортные данные: ФИО, дата и место рождения, адрес регистрации;

   • социальное и семейное положение;

   • имущество и размер дохода;

   • образование и профессия;

   • национальность, религия, политические взгляды;

   • биометрические данные, которые позволяют установить личность.

   Но список не ограничен информацией в приказе №94. К личным данным относят и другие сведения, позволяющие идентифицировать человека. Например, номер телефона, если он принадлежит конкретному физическому лицу, заключившему договор с оператором связи.

   Адрес электронной почты можно отнести к персональным данным, только если он включает в себя личную информацию, например: ФИО или дату рождения — например, адрес вида [email protected].

   Все юридические и физические лица, которые собирают и обрабатывают личную информацию, называются операторами персональных данных. Их деятельность в этой области контролирует Роскомнадзор.

   Что работодатель должен и не должен знать о работнике

   В Трудовом кодексе РФ нет конкретного перечня сведений, относящихся к персональным данным работника. Равно как и нет его и в Законе «О персональных данных». В этом документе есть только их Определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

   Соответственно, в законодательстве отсутствует список сведений, которые работодатель вправе собирать и хранить в отношении каждого работника.

   Вместе с тем в ст. 65 ТК РФ приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу. По этим документам можно понять, какие сведения о работниках компания получает, и соответственно, имеет право обрабатывать, а каких сведений в ее распоряжении оказаться не должно.

   Что у компании должно быть

   Итак, при приеме на работу работодатель получает персональные данные работника, а именно:

   • Ф.И.О., возраст, место жительства, семейное положение (из паспорта);
   • трудовой стаж и предыдущие места работы (из трудовой книжки);
   • регистрация в органах ПФР (из карточки СНИЛС);
   • отношение работника к воинскому учету (из документов воинского учета);
   • образование и квалификация (из дипломов, аттестатов, свидетельств об образовании);
   • судимость (из справки о ее наличии или отсутствии);
   • употребление наркотиков (из справки, подтверждающей или опровергающей этот факт).

   Персональные данные из социальных сетей просто так брать нельзя

   Организация собирала персональные данные банковских клиентов-физлиц, содержащиеся в социальных сетях «ВКонтакте», «Одноклассниках», «МойМир», Instragram, Twitter, а также на интернет-порталах «Авито» и «Авто.ру».

   По мнению компании, она вправе обрабатывать эти данные без согласия физлиц, поскольку они содержатся в открытых источниках, а значит, являются общедоступными.

   Роскомнадзор решил, что компания ошибается, и суд с ним согласился.

   В соответствии с ч. 1 ст. 8 закона о персональных данных в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В такие источники с письменного согласия субъекта персданных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные личные данные, сообщаемые их носителем.

   Исходя из этих положений закона, размещение персональных данных в социальных сетях автоматически не делает их общедоступными. Следовательно, не допускается обработка таких данных без согласия субъекта.

   Таким образом, в нарушение п. 1 ч. 1 ст. 6 и ч. 3 ст. 22 закона о персданных компания обрабатывала их, не получив у граждан согласия.

   Процедура инспекции зависит от ее типа, основными являются следующие:

   • Плановые. В конце года составляется график проведения инспекций на следующий период, и эта информация публикуется на официальном сайте уполномоченного органа. За три дня до начала инспекции проверяемая организация предупреждается лично или письмом.
   • Внеплановые. Такие мероприятия осуществляются после поступивших жалоб. В зависимости от степени серьезности нарушения о визите инспекторов могут сообщить за сутки или вовсе не предупредить.
   • Документарные. Контролирующий орган запрашивает необходимые документы, которые руководитель предприятия обязан предоставить в определенные сроки.
   • Выездные. Территория организации осматривается сотрудниками уполномоченного органа.

   Такие инспекции могут проводиться как Роскомнадзором, так и ФСБ.

   Провеки Государственной инспекции труда

   В Трудовом Кодексе РФ 14 глава называется: «Защита персональных данных работника». Государственная инспекция труда проводит контрольно-надзорные мероприятия по поводу выполнения требований всего Трудового кодекса и, соответственно, не может обойти стороной главу 14. На проверках обращают внимание на требование пункта 8 статьи 86: «работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области». Таким образом, проверяют наличие такого документа и факт ознакомления с ним всех работников.

   Административная ответственность за нарушение этих требований предусмотрена статьей 5.27. КоАП — штраф в размере от 30 000 до 50 000 рублей.

   Обязанности оператора при обработке персональных данных

   Субъектам государственного и частного сектора, в чьи обязанности входит систематизация и оптимизация личностных сведений физических лиц, надлежит руководствоваться Федеральным законом № 152-ФЗ. Согласно ему, операторы обязаны:

   1. Вести разъяснительные беседы с гражданами и доходчиво им объяснять, для чего ПД будут использованы.
   2. Получать от физических лиц письменное согласие на обработку и использование личностных сведений.
   3. Опубликовывать правила использования и обработки ПД отдельно взятым оператором.
   4. Защищать личные сведения граждан от посягательств третьих лиц, а также запрещать использование и распространение информации другими субъектами.
   5. Уничтожать ПД по заявлению владельца, если они были обработаны с нарушениями, по мнению гражданина.

   Что именно будут проверять

   Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

   СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

   Роскомнадзор осуществляет контроль над следующими направлениями:

   • Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
   • Системы, осуществляющие обработку данных (ПК и программы).
   • Наличие локальных нормативных актов.
   • Исполнение положений этих актов.
   • Сайт организации.

   Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.

   В отдельных случаях Роскомнадзор проводит незапланированное инспектирование на основании приказа, подписанного уполномоченным должностным лицом. Правила, утвержденные ПП N 146 содержат полный перечень оснований для инициирования внеплановой проверки Роскомнадзора:

   • выявления неисполненного или исполненного не полностью предписания, выданного по итогам планового инспектирования;
   • нарушения прав граждан, перечисленных ст. 14-17 152-ФЗ, выявленные в результате анализа заявлений пострадавших, поступивших в орган по контролю и надзору;
   • поручение органов власти, Президента;
   • требование прокурора;
   • резолюция руководства Роскомнадзора на основании изучения выводов о наличии нарушений после проведенных проверок без взаимодействия с оператором.

   Важно! Уведомление Роскомнадзора о начале внеплановой проверки обработки персональных данных вручается оператору не позднее, чем за 24 часа до ее начала. В качестве уведомления направляется копия приказа любым доступным способом. В приказе указываются должностные лица, которые уполномочены проводить инспектирование. Внеплановые проверки только выездные.

   
   

   Похожие записи:

   • Порядок проведения капитального ремонта в многоквартирном доме в 2023 году
   • Как восстановить исполнительный лист по алиментам
   • Как погасить задолженность по алиментам