Право

Вы уверены, что готовы к проверкам Роскомнадзора?

Пока конец года нас радует изобилием политических и экономических новостей разной степени тяжести, стоит задуматься не только о том, куда вы поедете в отпуск на Рождество и будет ли где взять мандарины к новогоднему столу, но и о том, как в вашей компании хранятся персональные данные. Потому что для вас у Роскомнадзора есть отдельный подарок.
4,9 тыс. 11
Вы уверены, что готовы к проверкам Роскомнадзора?
Фото Бориса Мальцева, Клерк.Ру

Пока конец года нас радует изобилием политических и экономических новостей разной степени тяжести, стоит задуматься не только о том, куда вы поедете в отпуск на Рождество и будет ли где взять мандарины к новогоднему столу, но и о том, как в вашей компании хранятся персональные данные. Потому что для вас у Роскомнадзора есть отдельный подарок. Об этом его глава, Александр Жаров, предупредил в ноябре на VI Международной конференции «Защита персональных данных». 

Итак, в следующем году будет уделяться более пристальное внимание проверкам операторов персональных данных (ПДн), к которым большинство из вас, конечно же, не готовы. Более того, под действие соответствующего законодательства попадают все организации, ведущие деятельность на территории России, включая иностранные организации, действующие без создания представительства.

В общем, пройдутся по всем.

Очевидно, что проверки Роскомнадзора в области обработки персональных данных являются для многих новым видом контроля деятельности предприятий. Практика выполнения требований ФЗ-152 «О персональных данных» и сопутствующих подзаконных актов сформировалась неокончательно, и со стороны контролирующих органов периодически появляются дополнительные разъяснения. Например, недавно вступивший в силу Федеральный закон №242-ФЗ (от 01.09. 2015) вносит существенные изменения в процесс, и естественно, неизбежно возникает масса вопросов по этой теме. Поэтому неплохо бы понимать, а готова ли к таким проверкам ваша компания.

Самое важное

Для самых нетерпеливых сразу выделим ключевые моменты. Каждая компания самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством. Но в любом случае необходимо:

  • Назначить ответственного за обработку персональных данных, взаимодействие с субъектами ПДн и регуляторами.
  • Направить уведомление в Роскомнадзор о начале, целях, характере обработки ПДн, времени окончания обработки, а также о том, где физически размещены базы данных, участвующие в процессе.
  • Опубликовать (на сайте) или иным образом обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных.
  • По запросу Роскомнадзора (или других регуляторов) представить все документы и локальные акты.

Собственно, выполнения всего вышеперечисленного будет достаточно, чтобы избежать серьезных санкций. И самой сложной частью задачи является создание и поддержание в актуальном виде достаточного с точки зрения регуляторов пакета документов.

Кто проверяет и когда

Хотя многие компании назначают ответственных за вопросы защиты ПДн из числа сотрудников IT-служб, Роскомнадзор не будет проверять работу ваших информационных систем персональных данных (ИСПДн). Эта функция возложена на ФСТЭК России и ФСБ России, которые проводят очень мало проверок – и как правило, это госкомпании и крупный бизнес.

В отличие от них Роскомнадзор ежегодно осуществляет значительное количество плановых, и еще больше внеплановых проверок. Поэтому рекомендуем сосредоточиться на документальном обеспечении и информировании своих сотрудников, что в первую очередь коснется юристов и кадровиков.

Проверки Роскомнадзора (помимо плановых и внеплановых) делятся еще на выездные и документарные. Первые происходят значительно чаще, и с ними почти наверняка вам придется иметь дело. Если же вам повезло и ведомство ограничилось вторым вариантом, то вас просто попросят выслать необходимые документы.

Ожидает ли вас плановая проверка или пока можно расслабиться, возможно посмотреть на сайте Управления Роскомнадзора. И хотя в данный момент на головном сайте данных на 2016 год еще нет, но они уже выложены по ряду федеральных округов, например, для Ростовской области.

Что касается внеплановых проверок, то они обычно проводятся по жалобам физических лиц (как сотрудников, так и клиентов), но могут быть инициированы и прокуратурой или самим Роскомнадзором. Чаще всего это следствие жалоб на рекламные e-mail и SMS-рассылки, телефонные звонки. Очевидный минус таких проверок: вас предупредят всего лишь за сутки.

Важно! Разные виды проверок могут проводиться независимо, в любой момент после плановой проверки Роскомнадзор может нагрянуть с внеплановой инспекцией.

По результатам проверки компания получает следующие документы:

  • Акт проверки (с выявленными нарушениями).
  • Справка о результатах проверки.
  • Предписание об устранении несоответствий (которое необходимо исполнить в течение месяца после получения).

Как вести себя во время проверки

Наша практика показала, что в начале проверки надо обозначить регулятору, что вы "не собираетесь оказывать сопротивление", полностью готовы сотрудничать и исправлять выявленные недостатки в ходе самой проверки. Идеально подготовиться вы вряд ли сможете, замечания будут почти наверняка. Но это и не страшно: их можно устранить в процессе проверки, а она обычно длится 20 дней. Соответственно, если замечания будут устранены до ее окончания, то в содержание итогового протокола они не попадут.

Важно! Руководителю, или ответственному лицу желательно лично присутствовать на всех контрольных мероприятиях – это позволит решать большинство вопросов на месте.

Желательно пускать проверяющих во все помещения, но только те, которые относятся к хранению персональных данных. Если излишне препятствовать инспектору, то для реализации своих прав он обязан обратиться к правоохранительным органам. Очевидно, что взвод ОМОНа в офисе и перепуганные этим сотрудники вам не нужны.

Теперь хорошая новость: если после получения предписания вы исправите недостатки в документах и привезете их в соответствующее управление, повторно проводить выездную проверку не будут.

Если же возникают сомнения по процедуре проверки и действиям проверяющих, то не надо бояться звонить в региональное управление Роскомнадзора и задавать вопросы. Как правило, дозвониться туда легко и работники охотно идут на контакт, разъясняя видение регулятора по поводу любых спорных вопросов.

К слову сказать, компания Интеркомп имеет опыт прохождения проверок Роскомнадзора и оказывает помощь своим клиентам в подобных ситуациях.

Какие документы проверят в первую очередь

Первое, на что обратят внимание проверяющие – подала ли компания уведомление в Роскомнадзор.

В законе говорится, что если организация использует персональные данные исключительно в целях исполнения трудовых договоров и договоров, связанных с осуществлением коммерческой деятельности, то подавать уведомления не обязательно. Но на практике в большинстве случаев инспекторы придут к выводу, что обработка ведется сверх исполнения договорных обязательств. Например, если обрабатываются данные кандидатов на вакантные должности, сотрудникам оформляются полисы ДМС, или они отправляются на различные курсы и т.д.

Посему лучше уведомление подать. Это не создает дополнительных рисков – хотя бы потому, что вас проверят на соответствие закону независимо от того, подано уведомление или нет, а вот неподача уведомления может вылиться в неприятности. В лучшем случае Роскомнадзор пришлет письмо с просьбой обосновать неподачу, или, что еще хуже, задаст этот вопрос во время проверки. Вопрос этот, понятное дело, приятным не будет.

Важно! Компания является оператором, даже если поручает обработку ПДн третьему лицу (например, аутсорсинг-провайдеру).

Поэтому, первое, что нужно предпринять – выяснить, есть ли в реестре операторов персональных данных ваша организация. Для этого достаточно ввести ИНН компании на этой странице. Если уведомления нет, то нужно его подать здесь

Кроме наличия уведомления инспекторы захотят ознакомиться с тем, совпадает ли поданная информация с реальными процессами обработки персональных данных. Для этого специалисты Роскомнадзора изучат работу тех отделов, в которых ведется обработка ПДн и соответствующие документы. Обычно начнут прямо с отдела кадров.

Как показывает практика Интеркомп, инспекторы посмотрят, где хранятся личные дела и трудовые книжки, проверят, что личные дела действующих работников хранятся отдельно от личных дел уволенных, спросят, как ищут новых сотрудников и как организовано удаление персональных данных. Более того, проверяющие могут потребовать показать, как работает конкретный сотрудник отдела кадров: вход/выход из операционной системы, вход/выход из ИСПДн. Также могут запросить сделать скриншоты программ, используемых для обработки ПДн.

Учтите, что при каждой проверке проверяются абсолютно разные вещи, и многое зависит от конкретного проверяющего. Но если есть расхождения с поданной ранее информацией (например, после подачи уведомления поменялся ответственный за организацию обработки персональных данных), компанию наверняка оштрафуют за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении. Чтобы обойтись без штрафов, на портале персональных данных существует специальная форма.

Важно! Изменения и первоначальное уведомление не будут учтены, если вы не отправите бумажное письмо в свое территориальное управление Роскомнадзора.

Как уже упоминалось, строгого перечня необходимых документов нет. Но в ряде отраслей (например, в банковской) существуют свои стандарты, к которым оператор может присоединиться и им следовать. Проверяющими изначально запрашиваются данные, затрагивающие порядка 30 документов, в первую очередь подтверждающих информацию, указанную в уведомлении. Самое главное, что у вас должно быть и быть в порядке:

  1. Уведомление об обработке ПДн.
  2. Документ, определяющий ответственного.
  3. Перечень сотрудников, допущенных к обработке ПДн.
  4. Документ, определяющие места хранения персональных данных.
  5. Типовая форма согласия на обработку ПДн и документов с их использованием.
  6. Порядок уничтожения ПДн и порядок их передачи третьим лицам.
  7. Перечень информационных систем персональных данных.
  8. Перечень используемых средств защиты информации.

Впрочем, настоятельно рекомендуется вести журналы учета (проведения инструктажей, учета мероприятий по контролю, учета обращений граждан, учета проверок и т.п.). Именно по ним проверяющие вычисляют, проводите ли вы реальную работу в области защиты ПДн или все, что вы делали, было сугубо «для галочки».

К чему еще нужно быть готовыми: в ходе проверки может быть запрошено ДЕЙСТВИТЕЛЬНО БОЛЬШОЕ количество дополнительных документов (регламенты, справки, выписки, договоры). Иногда счет идет на сотни. При этом нужно помнить, что документы должны регламентировать не только автоматизированную обработку, но и «бумажную» тоже.

Если компания передает персональные данные другим компаниям, то следует обратить внимание на то, как составлены с ними договоры. Список компаний, с которыми возникает обмен персональными данными, может быть более чем значительным. Например, кадровые агентства, банки, операторы связи, архивное хранение документов, ЧОПы и так далее. В договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. Также в договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Учтите, Роскомнадзор наверняка попросит копию договора.

В помещения, где обрабатываются персональные данные, должен быть обеспечен контролируемый доступ. Это значит, что персональные данные могут быть доступны только тем работникам, которые имеют допуск к их обработке.

Также нужно организовать раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами - это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если во время проверки инспектор увидит разбросанные на столах документы с персональными данными (знакомо, не правда ли?), к компании обязательно возникнут вопросы.

Кроме документов и помещений инспекторы изучают сайт компании. Если на сайте не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Отдельное внимание уделяется камерам видеонаблюдения. Хотя, согласно разъяснениям Роскомнадзора, в тех случаях, когда идентификация человека не производится, видеоматериалы не относятся к биометрическим персональным данным, но все же лучше заранее зафиксировать этот момент документально. Кроме того, стоит повесить таблички «Ведется видеонаблюдение».

Юридическая справка:

Для вашего удобства мы с коллегами в Интеркомп подготовили список нормативных актов, регулирующих сферу хранения и обработки персональных данных.

  1. Федеральный закон №152-ФЗ «О персональных данных»
  2. Федеральный закон №261-ФЗ (вносит существенные изменения, действует с 01.07.2011)
  3. Федеральный закон №242-ФЗ (вносит существенные изменения, действует с 01.09.2015)
  4. Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации»
  5. Федеральный закон №294-ФЗ «О защите юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»

Кроме того, есть ряд постановлений Правительства РФ и приказов регуляторов, имеющих непосредственное отношение к проведению проверок, еще ряд подзаконных нормативных актов находятся в разработке. Для более детального изучения всех вопросов, связанных с персональными данными, рекомендуем ознакомиться с информацией по следующим ссылкам:

Полномочия и зона ответственности Роскомнадзора

http://rkn.gov.ru/about/credentials/

Перечень НПА, регулирующих проведение проверок

http://rkn.gov.ru/p582/p585/

Ответственность за нарушения

http://expert.ru/ratings/table_560648/

Порядок обжалования решений Роскомнадзора

http://rkn.gov.ru/chamber-of-commerce/p455/

Комментарии

4
  • Евгений
    "если обрабатываются данные кандидатов на вакантные должности, сотрудникам оформляются полисы ДМС, или они отправляются на различные курсы" - откуда РКН об этом узнает, если вы сами ему об этом не скажете?
  • vdo
    Хорошая статья, только мало отражает реальность.

    Как бывший ответственный за ПД переживший такую проверку на собственной шкуре - не соглашусь. Очень даже близко к реальности.

    Вот это, видимо, продолжение, получилось что сперва его прочел: http://www.klerk.ru/special/outsourcing/articles/434951


  • vdo
    проверка проверке рознь, да же от региона зависит...
    так как по этой статье это делать не надо...
    Статья описывает подход по факту практики


    Что-то в упор не вижу где в статье говорится, что не нужно обеспечивать безопасность ПД.

    Вот про то, что проверка проверке рознь наоборот написано. То что основано на практике проверок а не голом законодательстве - большой плюс.

💥Госзакупки. Как компании не попасть в реестр недобросовестных поставщиков

Компания выиграла тендер на госзакупку, но по каким-то причинам не смогла выполнить контракт — это прямая дорога в реестр недобросовестных поставщиков (РНП). Расскажем, какие аргументы и обстоятельства помогут избежать реестра, сохранить репутацию и деньги компании. Забирайте подсказки от редакции.

Иллюстрация: Вера Ревина/«Клерк»
6
114

Курсы повышения
квалификации

18
Официальное удостоверение с занесением в госреестр Рособрнадзора

В сервис «Прозрачный бизнес» ФНС добавила спецрежим ИП. Пользователи: наконец-то! + опрос

Теперь через сервис ФНС «Прозрачный бизнес» любой желающий может узнать, какие специальные налоговые режимы применяет ИП.

Нашлась биржа, которая сфокусируется на IPO попавших под санкции промышленных компаний

СПБ Биржа начала заниматься IPO российских промышленников, попавших в те же санкционные списки, что и СПБ Биржа.

Лучшие спикеры, новый каждый день

Шведский бизнес Avito переехал в Калининградскую область

Шведская компания Avito AB провела редомициляцию и теперь будет зарегистрирована как международная компания в специальном административном регионе.

Как предпринимателю выйти из операционки: пошаговая инструкция

Сосредоточение в своих руках всех процессов, желание все сделать самому — проблема многих предпринимателей. В результате попытки охватить все не остается времени на разработку новой, более продуктивной стратегии. Чтобы разгрузить себя и заниматься более глобальными бизнес-задачами, владельцу бизнеса нужно научиться делегировать.

Как предпринимателю выйти из операционки: пошаговая инструкция
Отпуска

Сотрудник не может переносить отпуск, если у него заболел ребенок

Продлить или перенести ежегодный оплачиваемый отпуск разрешено только если заболел сам сотрудник, а не его ребенок.

Опытом делятся эксперты-практики, без воды

Песков: нейросети в руках недобросовестных людей — еще одна большая угроза

Заместитель руководителя администрации президента РФ, пресс-секретарь В. Путина Дмитрий Песков заявил, что нейросети в руках недобросовестных людей или террористов могут стать грозным оружием.

👫 На одну штатную единицу можно принять двух полставочников. Эксперт: запрета нет, и Верховный Суд это косвенно подтверждает

Ранее Роструд заявлял, что одну должность не могут делить между собой два человека по полставки каждый, должно быть 2 должности. Теперь поступили новые вводные.

331

Шестиугольник управления проектами. Что это такое и для чего нужен

Управление любым проектом представляет собой многоуровневый процесс, имеющий множество составляющих. Как минимум он включает в себя планирование, мотивацию, материальное и прочее обеспечение, а также контроль исполнительных процессов.

Шестиугольник управления проектами. Что это такое и для чего нужен
1
11

ФНС объяснила, какой ОКТМО указывать в ЕНП-уведомлении по налогу на имущество

В уведомлении по ЕНП при указании кода ОКТМО надо учитывать особенности исчисления и уплаты налогов.

🎓 Уже завтра бухгалтеры узнают, как Минтруд и ФНС будут бороться со скрытыми сотрудниками

Подготовьтесь к проверкам и запросам по сотрудникам и уберегите себя от штрафов.

Клиенты Сбера могут разблокировать карту после блокировки из-за криптовалют

Чтобы снизить риск блокировки карт из-за сомнительных операций, клиенты Сбербанка могут подтвердить свои криптовалютные доходы, сделав скриншот с сайтов криптобирж.

Миникурсы, текстовые и видеоинструкции для бухгалтеров
УСН

📌 Как ИП на УСН «доходы» в 2024 году уменьшать налог на фиксированные взносы: таблица

Чтобы уменьшать налог по УСН за 2024 год на взносы ИП за 2024, их не нужно платить. А вот на взносы 1% за 2024-й налог за 2024 год уменьшить нельзя независимо от того, платили вы их или нет.

НДФЛ

За подаренную двоюродным братом квартиру придется платить НДФЛ

За подаренную недвижимость не надо платить НДФЛ, если даритель и одаряемый являются членами семьи или близкими родственниками по Семейному кодексу. Двоюродный брат – это не близкий родственник.

💰 Зарплату иностранным работникам надо платить только безналом

Выплата денег валютным резидентом (российской компанией) нерезиденту (сотруднику-иностранцу) в наличной форме не входит в перечень разрешенных валютных операций.

Как составить прогнозный баланс на основе управленческой отчётности. 5 шагов

Устойчивое развитие бизнеса можно поставить под сомнение, если руководство на основе целей не составляет планы, а управленческий учёт заключается только в фиксировании фактических данных. И наоборот, планирование помогает находить резервы для роста компании, координировать все службы, чётко рассчитывать денежные потоки, поставки сырья и материалов.

Как составить прогнозный баланс на основе управленческой отчётности. 5 шагов

Минстрой утвердил официальную стоимость 1 кв. м жилья на II квартал

Министерство строительства и жилищно-коммунального хозяйства России установило показатели средней рыночной стоимости 1 квадратного метра общей площади жилого помещения по субъектам РФ на II квартал 2024 года.

МСП получили 500 млрд руб. поддержки в рамках льготных микрозаймов и поручительств

За 2023 год объем финансовой поддержки малого и среднего бизнеса в рамках Национальной гарантийной системы вырос: кредитов под поручительства — на 47%, льготных микрозаймов — на 3,4%.

МСП получили 500 млрд руб. поддержки в рамках льготных микрозаймов и поручительств

Означает ли запрос ИФНС документов у контрагентов предстоящую проверку?

Добрый день! ИФНС запросила документы у наших заказчиков (4 разных контрагента) по некоторым договорам с нашей организацией вне рамок налоговой проверки. Коллеги, кто сталкивался, означает ли это, что нам самим в скором времени следует ожидать проверку?

4
88

Интересные материалы

Песков: Telegram не будут блокировать

Дмитрий Песков посоветовал Павлу Дурову уделять больше внимания тому, что Telegram используют в том числе и террористы.