Мы работаем в прежнем режиме. Все группы состоятся в указанные сроки. Учим онлайн! Подробнее

Инспекционная проверка по персональным данным: что требует Роскомнадзор?

В статье читайте:

  1. Как проходит проверка Роскомнадзора
  2. Что требует проверяющий
  3. Как работодателю подготовиться к проверке Роскомнадзора
  4. Какая ответственность за нарушение обработки персональных данных работников введена с 01.07.2017
  5. Где получить дополнительную информацию о проведении проверок Роскомнадзора

1. Как проходит проверка Роскомнадзора

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) осуществляет функции по контролю и надзору за соответствием обработки персональных данных (далее – ПД) требованиям законодательства РФ.

Процедура принятия решения о проведении проверок представлена в Блок-схеме 1:

Процедура принятия решения о проведении проверок Роскомнадзором

Процедура проверки зависит от ее вида и формы.

Согласно Федеральному закону N 294-ФЗ от 26.12.2008 "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (далее – Закон 294-ФЗ) проверки бывают плановые и внеплановые.

И те, и другие могут проходить в форме выездной и документарной проверки.

Особенности проведения разных видов и форм проверок приведены в таблице 1:

Виды проверок Роскомнадзора

В Административном регламенте исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки ПД требованиям законодательства РФ в области персональных данных, утв. Приказом от 14.11.2011 № 312 (далее – Административный регламент №312) приведен перечень нормативных правовых актов, регулирующих процедуру проверки.

Кроме того, в нем перечислены права и обязанности должностных лиц Роскомнадзора при осуществлении проверок (пп. 6-7 Административного регламента №312) и права и обязанности работодателей, в отношении которых проводится проверка (пп. 8-9 Административного регламента №312).

Процедура проведения проверок представлена в Блок-схеме 2:

Процедура проведения проверки Роскомнадзором

Сроки проведения проверок приведены в таблице 2 (пп. 20-21 Административного регламента №312):

При необходимости продления срока проверки проводящие проверку должностные лица не позднее чем за два дня до даты окончания проверки готовят докладную записку с изложением причин продления срока и направляют ее руководителю Роскомнадзора или руководителю территориального органа, принявшему решение о проведении проверки.

Варианты завершения проверки:

  • составление и вручение работодателю акта проверки
  • выдача работодателю предписаний об устранении выявленных нарушений требований законодательства РФ в области персональных данных
  • составление протоколов об административных правонарушениях в отношении работодателя
  • подготовка и направление материалов проверки в органы прокуратуры, другие правоохранительные органы для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам преступлений, связанных с нарушением прав персональных данных работников

Процедуры оформления результатов и принятия мер по результатам проверок представлены в Блок-схеме 3 (п. 10 Административного регламента №312):

Процедуры оформления результатов и принятия мер по результатам проверок Роскомнадзором

2. Что требует проверяющий

Административным регламентом №312 определена последовательность действий (административных процедур) Роскомнадзора и его территориальных органов.

В частности, предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных являются (п. 5 Административного регламента №312):

  • документы, характер информации в которых предполагает или допускает включение в них персональных данных (напр., личные дела работников)
  • информационные системы персональных данных (напр., правила ведения электронного документооборота в программе 1С)
  • деятельность по обработке персональных данных (напр., локальный нормативный акт о защите ПДР, согласие на обработку персональных данных и др.)

Общий перечень документов, подлежащих проверке, законодательно не определен.

Приведем примерный список документов:

  • Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав и др.)
  • Список ПД, обрабатываемых работодателем
  • Список работников, имеющих доступ к ПД, приказ об их допуске
  • Инструкции работников, которые в ходе своей трудовой деятельности обрабатывают ПД и обеспечивают информационную защиту
  • Положение об ответственности работников за разглашение ПД и нарушение запрета доступа к ним
  • Локальный нормативный акт о защите ПД
  • Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности)
  • Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи работников по требованиям информационной безопасности)
  • Соглашения о неразглашении ПД с подписями работников
  • Бланки согласия работников на обработку их ПД
  • Журналы инструктажей работников по вопросам информационной безопасности и других внутренних контрольных мероприятий режима защиты
  • Журналы учета всех носителей информации, а также средств защиты информационных систем

Конкретный перечень документов должен быть приведен в приказе руководителя.

3. Как работодателю подготовиться к проверке Роскомнадзора

Несколько практических рекомендаций по подготовке к проверке Роскомнадзора:

  1. Назначить работника, ответственного за обработку ПД
  2. Разработать и утвердить локальный нормативный акт о защите ПД
  3. Ознакомьте всех работников с документами по работе с ПД.
  4. Ежегодно проверять график проведения плановых проверок на официальном сайте Роскомнадзора
  5. Привести в порядок все документы, регламентирующие работу с ПД, обращая внимание на условия информации и хранения документов (напр., материально-техническое оснащение помещений: замки на дверях, наличие сейфов для документов и пр.)
  6. Постоянно отслеживать изменения в законодательстве РФ по ПД
  7. Регулярно проводить внутренний аудит документов, содержащих ПД
  8. Установить алгоритм поведения с проверяющими (они должны получать информацию у представителя ЮЛ или ИП)

Для разработки документа, определяющего политику оператора в отношении обработки ПД советуем воспользоваться рекомендациями по его составлению, которые размещены на официальном сайте Роскомнадзора: https://rkn.gov.ru/personal-data/p908/

В частности, в Политику по защите ПД рекомендуется включить следующие структурные компоненты:

  1. Общие положения
  2. Цели сбора персональных данных
  3. Правовые основания обработки персональных данных
  4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
  5. Порядок и условия обработки персональных данных
  6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Также приводим пример формы согласия на обработку ПД:

Пример формы согласия на обработку персональных данных

Поведение работодателя (оператора ПД) во время проверки:

  1. Ознакомиться с документами, относящимися к проверке, с положениями и регламентом
  2. При необходимости пригласить юриста, что поможет не упустить из виду важные нюансы в переговорах и оформлении документов
  3. Тщательно проверять документы, прежде чем передать их инспектору (по возможности со всех документов снять копии)
  4. Инспекторы имеют права изымать только документы, имеющие отношение к предмету проверки
  5. Перед передачей инспектору документов внимательно проверить их (оператору ПД дается время для обработки запроса)
  6. Помнить, что оператор ПД имеет право обжаловать результаты проверки в суд

4. Какая ответственность за нарушение обработки персональных данных работников введена с 01.07.2017

С 01.07.2017 вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

Данный закон установил семь новых составов административных правонарушений при обработке ПД, затрагивающих основной круг распространенных правонарушений в области ПД.

Полная информация об ответственности за нарушение правил обработки ПД приведена в таблице 3:

Ответственность за нарушение правил обработки персональных данных

5. Где получить дополнительную информацию о проведении проверок Роскомнадзора

Информация о порядке проведения проверок предоставляется (п. 11 Административного регламента №312):

  • посредством размещения на официальном сайте Роскомнадзора и его территориальных органов в информационно-телекоммуникационной сети «Интернет» (п. 15 Административного регламента №312)
  • непосредственно в центральном аппарате Службы и ее территориальных органах.

Место нахождения центрального аппарата Роскомнадзора: 109074, Москва, Китайгородский проезд, д. 7, стр. 2.

Почтовый адрес для направления обращений: 109074, Москва, Китайгородский проезд, д. 7, стр. 2.

Официальный сайт: https://rkn.gov.ru/ и www.роскомнадзор.рф

График работы Роскомнадзора и его территориальных органов: понедельник - четверг 9.00 - 18.00; пятница 9.00 - 16.45 (в предпраздничные дни продолжительность времени работы сокращается на 1 час).

Часы приема корреспонденции в экспедиции Роскомнадзора: понедельник - пятница 10.00 - 13.00, 14.00 - 16.00.

Телефон Роскомнадзора для получения справок по вопросам проведения проверок за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных: (495) 987-68-00, электронный адрес: rsoc_i@rsoc.ru.


23.07.2019

envelope

Спасибо! Вам на e-mail отправлено письмо со ссылкой для подтверждения

Если письмо не пришло, поищите его в папке со спамом или повторите подписку

email-checked.png

Вы подписались на рассылку

Наш сайт использует файлы cookie
Наша задача – сделать Ваше обучение успешным. Specialist.ru использует файлы cookie, чтобы гарантировать максимальное удобство пользователям, предоставляя им персонализированную информацию и запоминая их предпочтения. Продолжая пользоваться сайтом, Вы подтверждаете своё согласие на использование файлов cookie. Подробнее...