Как будут проверять операторов персональных данных

Что такое персональные данные

Для точного определения того, что представляют собой персональные данные, стоит обратиться к ТК РФ. Трудовой кодекс определяет персональные данные, как сведения, необходимые к передаче работодателю для выполнения рабочих обязанностей.

Большинство данных, предоставляемых нанимателю, являются персональными – это и паспортные данные (этот вид сведений должен находиться под особой защитой организации, так как паспорт является идентификатором личности гражданина), автобиографические сведения (к которым может относиться, например, уровень образования, квалификация).

Для выполнения некоторых видов работ нанимателю требуются более личные сведения о кандидате на должность, например, информация о перенесенных заболеваниях.

Распространение подобной информации (или неспособность защитить ее конфиденциальность организацией – оператором) и является наиболее частой причиной обращения сотрудника в суд.

Если человек, скажем, перенес тяжелое заболевание, этот биографический факт может принести ему множество проблем при устройстве на работу – естественно, в такой ситуации ему ничего не остается, кроме как защищать собственные интересы в суде.

Суд принимает сторону истца в таких делах в 99% случаев.

КТО И ЧТО МОЖЕТ ПРОВЕРИТЬ?

В соответствии с Законом о персональных данных контрольные и надзорные полномочия в сфере защиты персональных данных имеет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Также согласно установленным полномочиям определенные проверочные функции в данной сфере осуществляет Государственная инспекция труда.

Проверку проводит Роскомнадзор

Один из значимых документов для оператора персональных данных — Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (далее — Регламент), утв. приказом Минкомсвязи России от 14.11.2011 № 312.

Данный регламент определяет сроки и последовательность действий (административных процедур) Роскомнадзора и ее территориальных органов, а также порядок взаимодействия с государственными и муниципальными органами, юридическими или физическими лицами, организующими и (или) обрабатывающими персональные данные, а также определяющими цели и содержание обработки персональных данных (операторами персональных данных), в рамках проведения проверок при осуществлении федерального государственного контроля (надзора) соответствия обработки персональных данных требованиям законодательства РФ в области персональных данных.

Обратите внимание! Проверки Роскомнадзора и ее территориальных органов проходят в соответствии с требованиями Федерального закона от 2612.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»

Проводимые проверки могут быть плановыми и внеплановыми.

Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок.

Основанием для включения плановой проверки в план является начало осуществления оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:

  • государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя;
  • окончания проведения последней плановой проверки оператора. Внеплановые проверки проводятся по следующим основаниям:

Основание 1. Истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства РФ в области персональных данных.

Основание 2. Поступление в Роскомнадзор или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о возникновении угрозы причинения вреда жизни, здоровью граждан; причинении вреда жизни, здоровью граждан.

Основание 3. Приказ руководителя Роскомнадзора, изданный в соответствии с поручениями Президента РФ или Правительства РФ.

Основание 4. Нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их персональных данных.

Основание 5. Нарушение операторами требований законодательства РФ в области персональных данных, а также несоответствие сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.

В ходе проведения проверки Роскомнадзор или ее территориальный орган рассматривают документы оператора, а также исследуют (обследуют) информационную систему персональных данных в части, касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.

Внеплановые проверки — на основании жалоб и наблюдений

Внеплановая проверка — это когда визита проверяющих нет в графике и за три дня об этом не сообщают. То есть проверка внезапная, повод может возникнуть в любое время, а причина заранее неизвестна.

Как предупредят. О внеплановой проверке предупредят за сутки.

Когда могут прийти. Для внеплановой проверки все равно нужны основания. Все они перечислены в постановлении правительства, но список теперь новый — не такой, как был в регламенте.

Вот эти основания:

  1. Оператору выдали предписание для устранения нарушений, а он его игнорирует.
  2. Кто-то из людей пожаловался и приложил доказательства, что оператор нарушает их права.
  3. Есть поручение президента или правительства.
  4. Потребовал прокурор.
  5. Руководителю принесли докладную записку по итогам наблюдения за оператором: мол, тут товарищи нарушают, надо бы их проверить. И глава управления Роскомнадзора согласился и решил: проверяйте. Раньше такой причины для проверок не было.

Последний пункт самый интересный. Смотрите: за вашим сайтом и бизнесом могут просто тихонько наблюдать. Вам при этом ничего не присылают, ничего не запрашивают. Читают ваши пользовательские соглашения, проверяют галочки на формах подписки — эта процедура называется наблюдением, она предусмотрена правилами. И если есть подозрения, что вы что-то нарушаете: не спрашиваете согласия, плохо защищаете данные или не предупреждаете об их сборе, — докладная на стол и встречайте внеплановую проверку. По правилам должны согласовать эту проверку с прокуратурой, но для вас будет сюрприз.

Как часто. У внеплановых проверок нет периодичности. К нарушителям могут приходить хоть каждый месяц.

Сколько длится. Внеплановая проверка длится максимум 10 рабочих дней. Срок сократили в два раза, но один раз могут продлить.

Что именно будут проверять

Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

Роскомнадзор осуществляет контроль над следующими направлениями:

  • Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
  • Системы, осуществляющие обработку данных (ПК и программы).
  • Наличие локальных нормативных актов.
  • Исполнение положений этих актов.
  • Сайт организации.

Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.

Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:

  • Учредительная документация (ИНН, устав и прочее).
  • Уведомление о том, что фирма работает с ПД.
  • Перечень ПД, сбор которых осуществляется.
  • Перечень работников, у которых есть доступ к данным.
  • Приказ о допуске таких сотрудников к ПД.
  • Инструкции для специалистов, которые работают с данными.
  • Положение об ответственности сотрудников за разглашение ПД.
  • Документ об обработке ПД.
  • Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
  • Соглашение о неразглашении ПД.
  • Письменное согласие лиц на обработку.
  • Журналы инструктажей относительно мер безопасности.
  • Журналы учета носителей сведений.

Роскомнадзор также может затребовать и другие документы.

Как проверить, есть ли на портале сведения об организации?

Для того чтобы проверить, есть ли запись в реестре операторов, осуществляющих обработку ПДн персональных данных, необходимо выполнить следующие действия:

  1. Зайти на портал персональных данных уполномоченного органа по защите прав субъектов персональных данных.
  2. Заполнить поисковую форму и указать ИНН организации.
  3. Если не знаете ИНН – произвести поиск по названию, при этом достаточно указать только оригинальную часть наименования, без спецсимволов и сокращений.
  4. Подождать результат поиска.

Для быстрого поиска лучше избегать часто встречающихся слов в названиях, таких как: «Федеральный», «Общество», «Российский» и т.п.

Кто должен быть внесен в реестр?

Если компания или физическое лицо, а также государственный или муниципальный орган, проводят сбор, хранение или обработку личной информации, и являются оператором персональных данных, то наличие регистрации в реестре Роскомнадзора является обязательным условием для их деятельности.

Важно. В настоящее время позиция Роскомнадзора такова, что уведомление о регистрации нужно подавать практически всем юридическим лицам, так как во многих организациях ведётся кадровый учёт со сбором личных данных сотрудников, а зачастую и их близких родственников.. Физические лица и ИП также должны быть внесены в реестр

Оказывая услуги или занимаясь продажей, многие предприниматели, как правило, предлагают заполнить анкеты с личными данными для получения бонусных карт или акционных рассылок. Интернет-порталы не являются исключением, если на них существует форма подписки или обратной связи, где нужно оставить свою персональную информацию. О защите персональных данных в интернете мы рассказывали тут

Физические лица и ИП также должны быть внесены в реестр. Оказывая услуги или занимаясь продажей, многие предприниматели, как правило, предлагают заполнить анкеты с личными данными для получения бонусных карт или акционных рассылок. Интернет-порталы не являются исключением, если на них существует форма подписки или обратной связи, где нужно оставить свою персональную информацию. О защите персональных данных в интернете мы рассказывали тут.

Кому можно не регистрироваться?

Согласно п. 2 ст. 22 № 152-ФЗ, существует ряд условий, при котором оператор вправе осуществлять обработку без уведомления в Роскомнадзор. Исключением когда нет необходимости о регистрации в реестре является:

  1. Публичность либо общедоступность сведений.
  2. Трудовые отношения, относится только к тем сведениям, которые необходимы при составлении трудового и коллективного договора в рамках трудового законодательства.
  3. Сбор информации, которая содержит в себе только фамилию, имя, отчество.
  4. Получение данных для однократного использования.
  5. Обработка информации только на бумажном носителе, без использования автоматизированных средств (компьютеров).
  6. Оформление организацией потребительского договора, одной из сторон которого является сам субъект ПДн, при условии, что данные будут использоваться только для выполнения условий договора, и не будут распространены широкому кругу.
  7. Приём сведений участников общественных объединений и религиозных общин, если данные не будут обнародованы без согласия в письменном виде лиц, чья информация собиралась.
  8. Получение информации организациями, которые сотрудничают с транспортным комплексом для обеспечения безопасности в транспортной сфере.

Важно. Для уточнения, существует ли необходимость в регистрации, можно обратиться в компетентный территориальный орган за разъяснениями.

Как проходит проверка Роскомнадзора

Начинается проверка с уведомления проверяемого. В нем указываются сроки и реквизиты инициирующего приказа. Прилагаются, кроме того, копия самого приказа, план контрольных мероприятий.

Сначала проверяют документы. На предприятие отправляется запрос, на который необходимо ответить в течение 10 дней. Предприниматель предоставляет копии документов, заверенные подписью и печатью. Свидетельство нотариуса не требуется. Если в документах содержится вся необходимая для разъяснения ситуации информация, то до выездной инспекции дело не дойдет.

Длится выездная проверка 20 рабочих дней, и еще на 20 дней она может быть продлена, если требуется провести дополнительные исследования.

Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки.
Результат проверки можно обжаловать. Сделать это можно как письменно, так и устно (например, в ходе личного приема или по телефону – подробности можно найти на сайте территориального органа Роскомнадзора). Рассматривается жалоба в течение месяца.

Как будет проходить проверка?

Проверки могут проходить в двух формах – документарной (когда Роскомнадзор проверяет предоставленные оператором документы без личной явки к нему) и выездной (когда проверка осуществляется сотрудниками Роскомнадзора по месту нахождения оператора).

Документарными могут быть только плановые проверки (п. 25 Правил). В этом случае Роскомнадзор запрашивает у оператора интересующие документы, которые он обязан представить в течение пяти рабочих дней со дня получения запроса. Непредставление сведений является основанием для привлечения к административной ответственности (ст. 19.7 КоАП РФ).

Если в документах будут выявлены ошибки или неточности, Роскомнадзор направит дополнительный запрос. Ответ на него оператор должен дать в течение трех рабочих дней. В противном случае Роскомнадзор вправе назначить выездную проверку. Она осуществляется по месту нахождения оператора и не может проводиться в отношении физических лиц, не являющихся индивидуальными предпринимателями (п. 32 Правил).

Роскомнадзор постучался в дверь – с чего начнется проверка Роскомнадзора в 2020 году

В этом году к нам обратился клиент за сопровождением их организации при прохождении проверки Роскомнадзора и за предварительным аудитом процессов работы с персональными данными в компании.  На их примере мы и рассмотрим, как проходила проверка и какие подводные камни встретились нам при ее прохождении.

Обычно проверка Роскомнадзора проходит в три этапа. Как же прошла у нас проверка на практике?

На практике  понедельник начался со стука в дверь контролирующего органа и предъявления служебного удостоверения участника проверки. Совместно с удостоверением сотрудник вручил нам заверенную копию приказа о проведении проверки, который заранее был утвержден комиссией и сделал запись в журнале проверок юридического лица.

Как правило, на следующем шаге, большинство организаций зарабатывают минус к карме и запись в справке о результатах проведения проверки. Мы же с компанией заранее постарались предусмотреть все тонкости, а именно: встретить проверяющую комиссию  уполномоченным лицом, которое представляет интересы оператора персональных данных при проведении проверки с соответствующим распоряжением и доверенностью на право представления юридического лица при проверке. Таким лицом в организации, как правило, является человек ответственный за организацию обработки персональных данных, понимающий процессы работы с персональными данными внутри компании, например, руководитель организации, исполнительный директор и др.

После официального знакомства комиссия вручила нам письменный запрос на предоставление перечня документов для проверки, исходя из данных, заявленных в уведомлении о начале обработки персональных данных

Обратите внимание, документ должен быть подписан председателем комиссии, а запрашиваемая информация должна быть строго в соответствии с информацией в документе

Так же рекомендуем скрупулезно подойти к отражению действительности по обработке персональных данных при отправке уведомления в Роскомандозор, поскольку в документе должны быть четко отражены цели обработки персональных данных, категории обрабатываемых персональных данных, сроки обработки персональных данных и другие важные моменты  работы вашей компании. В этом случае надеяться на русское «авось» или попросту скачать файл из интернета нельзя, поскольку цели, субъекты обрабатываемых персональных данных, категории будут сильно разниться с документами сторонней компании даже схожей по специфике и сфере деятельности с Вашей. (Подробнее об отправке уведомления в РКН).

На случай, если проверяющие органы выявили несоответствие сведений в уведомлении с фактической деятельностью организации, уполномоченное лицо займется проверкой документации, свидетельствующей об уведомлении уполномоченного органа об изменении сведений, содержащихся в уведомлении. К счастью, перед проверкой РКН совместно с клиентом мы обнаружили данный недочет и своевременно подали данные в РКН на внесение изменений. Изменения необходимо было отразить постольку незадолго до прохождения проверки клиентом были дополнены цели обработки персональных данных и категории обрабатываемых персональных данных.

Так же у компании целей для обработки персональных данных оказалось гораздо больше, чем просто работа с персональными данными сотрудников компании. Поэтому следующие несколько часов мы совместно с представителями РКН погрузились в плавание: по серверным мощностям, договорам аренды облачных серверов, по проверке наличия форм согласия и политики конфиденциальности на сайте компании и продуктовых страницах.

Перечень информации, предоставляемой из Единого реестра

Стадия В случае принятия Уполномоченным органом решения о внесении в Реестр указателя страницы сайта В случае принятия Уполномоченным органом решения о внесении в Реестр доменного имени
Включение в реестр В реестр включается только конкретная страница сайта, без внесения доменного имени. В реестр включается только доменное имя, без внесения конкретных страниц сайта.
Уведомление провайдеру хостинга В уведомлении провайдеру хостинга указывается только конкретная страница сайта, доменное имя не указывается. В уведомлении провайдеру хостинга указывается только доменное имя, конкретные страницы сайта не указываются.
Запрос информации через систему поиска на сайте (до включения в Реестр сетевого адреса) При поиске по конкретной странице сайта предоставляется информация о решении, которым данная конкретная страница включена в Реестр. При поиске по конкретной странице сайта, доменное имя которого включено в Реестр именно как доменное имя (пусть даже ни одна из конкретных страниц не включена в Реестр отдельно) – предоставляется информация о решении, которым в реестр включено доменное имя. При этом указывается, что решение принято в отношении именно доменного имени.
При запросе по доменному имени информация не предоставляется. При поиске по доменному имени предоставляется информация о решении. При этом указывается, что решение принято в отношении именно доменного имени.
Запрос информации через систему поиска на сайте (после включения в Реестр сетевого адреса) При поиске по конкретной странице сайта предоставляется информация о решении, которым данная конкретная страница включена в Реестр. При поиске по конкретной странице сайта, доменное имя которого включено в Реестр именно как доменное имя (пусть даже ни одна из конкретных страниц не включена в Реестр отдельно) – предоставляется информация о решении, которым в реестр включено доменное имя. При этом указывается, что решение принято в отношении именно доменного имени.
При поиске по доменному имени или сетевому адресу запрос выполняется, при этом отображается столько строк с информацией о решениях уполномоченных органов, сколько страниц сайта (в данном домене) или с данным сетевым адресом включено в Реестр. При этом адреса конкретных страниц не отображаются. Для решений указывается, что они приняты в отношении конкретных страниц сайта. При поиске по доменному имени или сетевому адресу запрос выполняется, при этом отображается столько строк с информацией о решениях уполномоченных органов, сколькими в Реестр были внесены конкретные страницы сайта (в данном домене), конкретное доменное имя или сетевой адрес, позволяющий идентифицировать сайт. При этом адреса конкретных страниц не предоставляются.

Цель инспекции Роскомнадзора, что проверяется

Любое предприятие, набирающее в штат наёмных работников, не может официально их трудоустроить, не проведя, при этом, процедуру идентификации. В связи с этим, множество организаций проходит проверку Роскомнадзором персональных данных (далее – ПД), получаемых не только от работников, но и от клиентов.

Инспектируемый объём сведений отличается в зависимости от вида инспекции. Контролирующий орган вправе запросить нужные документы и изучить их удалённо, а может нанести визит работодателю и таким образом расширить круг проверки.

Понятие персональных данных охватывает объём информации, касающейся идентификации каждого человека. Таковой являются паспортные данные, адрес проживания, грамотно заполненная трудовая книжка, опыт работы и так далее.

ФЗ «О персональных данных» обязан соблюдать любой работодатель. Это является одной из основных целей поверки Роскомнадзора. Поскольку инспекция занимается защитой информации, другой направленностью является техническая проверка компьютерных систем предприятия.

При наличии веб-сайта, на котором требуется вводить персональные данные, важно оповещать посетителей о цели сбора предприятием таких сведений. Кроме этого, важно получить электронное согласие клиента на обработку его данных.. Вне зависимости от того, предупреждён работодатель о предстоящей инспекции, или нет, следует знать, что проверяет проверка Роскомнадзора по защите персональных данных

Для того, чтобы снизить вероятность штрафных санкций для своего предприятия, нужно привести в порядок ряд важных документов. Единого перечня проверяемой документации не существует, поэтому целесообразно выделить наиболее важные из них, которые чаще всего запрашиваются

Вне зависимости от того, предупреждён работодатель о предстоящей инспекции, или нет, следует знать, что проверяет проверка Роскомнадзора по защите персональных данных. Для того, чтобы снизить вероятность штрафных санкций для своего предприятия, нужно привести в порядок ряд важных документов. Единого перечня проверяемой документации не существует, поэтому целесообразно выделить наиболее важные из них, которые чаще всего запрашиваются.

Помимо основных учредительных документов, у предпринимателя должны быть:

  • Список собираемых и хранимых предприятием видов персональных данных, порядок их обработки.
  • Выписка из реестра операторов или копия уведомления об обработке ПД.
  • Перечень работников предприятия, имеющих доступ к персональным данным, а также оригиналы приказов, подтверждающих их полномочия. Также могут потребоваться их должностные инструкции.
  • Положения о защите конфиденциальной информации и коммерческой тайны.
  • Положение о неразглашении ПД и об ответственности за нарушение запрета доступа к ним. Также понадобятся соответствующие соглашения с работниками, которые также должны быть ими подписаны.
  • Положение об обработке персональных данных.
  • Наличие бланков согласия на обработку ПД.
  • Журналы учёта носителей информации, а также журналы инструктажей по вопросам информационной безопасности.

Вместе с корректностью получения персональных данных, комиссией проверяются условия, в которых хранится собранная информация. Как правило, Роскомнадзор осуществляет комплексные проверки всех перечисленных документов и не ограничивается конкретным вопросом.

Кроме этого, проверяющими может быть затребован план мероприятий по защите ПД, акт определения уровня защищенности информации и другие ЛПА, регламентирующие эту деятельность.

Для того, чтобы убедиться в качестве защиты информации, в ходе выездных проверок внимание будет обращено на фактическое наличие у предпринимателя соответствующих технических решений. Поскольку персональные данные хранятся на сервере, особое внимание будет уделяться наличию антивирусов и паролей на тех ПК, через которые можно получить доступ к нему

Ответственность за разглашение персональных данных

К сожалению, ответственность, которую несет фирма за неспособность гарантировать защиту персональных данных, только административная, следовательно, ничего, кроме штрафа, ей не угрожает.

Суммы штрафования также невелики – организация обязуется выплатить потерпевшему 5-10 тысяч рублей, а виновное лицо – еще добавить от 500 до 1000 рублей. Естественно, такие цифры точно не окупают того ущерба, который может быть нанесен сотруднику.

Однако компании важно иметь в виду еще несколько аспектов. Вышеперечисленные суммы начисляются за одно нарушение, а там, где система защиты персональных данных начисто отсутствует, проверяющая комиссия чаще всего сталкивается с массовыми нарушениями, вследствие чего общая сумма штрафования становится довольно внушительной.

Вышеперечисленные суммы начисляются за одно нарушение, а там, где система защиты персональных данных начисто отсутствует, проверяющая комиссия чаще всего сталкивается с массовыми нарушениями, вследствие чего общая сумма штрафования становится довольно внушительной.

Денежные траты – не самые важные из тех, которые может принести нарушение тайны персональных данных. Главным образом это удар по репутации самой компании, которая из-за одной ошибки практически лишается возможности нанимать квалифицированный персонал.

Работать с такой фирмой профессиональные кадры, имеющие выбор, точно не будут.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий