Как Роскомнадзор проводит проверку

Сколько может длится проверка Роскомнадзором ПРОВЕРКА И ИНСПЕКЦИЯ

Безусловно, законодательство и «классические» подходы могут отставать от вызовов времени и актуальных угроз, однако нам самим, как наиболее заинтересованным в безопасности своих персональных данных, также следует принимать определенные меры. Некоторые базовые советы по защите сервера от взлома вы уже можете прямо сейчас прочитать в нашей статье. Например, не следует забывать об элементарной цифровой гигиене, которая должна войти в обиход современного человека. Перефразировав фразу классика, «береги данные смолоду»: не сообщай избыточную личную информацию сайтам и сервисам, не выкладывай сканы документов в сеть, читай лицензионные соглашения, наконец. Только осознанное и бережное обращение с персональными данными поможет нам самостоятельно хотя бы минимизировать возможность утечки и/или некорректного использования.

Банк России опубликовал отчет, в котором ясно прослеживается нарастающая тенденция использования злоумышленниками методов социальной инженерии, при этом ими зачастую используются общедоступные персональные данные (из соцсетей, сервисов по покупке/продаже, и т.д.)

Сколько может длиться проверка Роскомнадзором

Роскомнадзор может продлить плановую проверку на 20 дней, внеплановую — на 10 дней. Увеличить срок проверки можно только один раз. Для этого должны быть причины:

  1. Во время проверки Роскомнадзор получил от правоохранительных органов документы, из которых видно, что оператор нарушает закон.
  2. На территории, где проходит проверка, произошло наводнение, затопление или пожар.
  3. Во время проверки оказалось, что нужно проверить больше документов, у компании сложная структура, сложный механизм обработки персональных данных.

Если Роскомнадзор продлевает срок проверки, он издаёт приказ и в течение трех рабочих дней отдаёт копию оператору.

Кого имеет право проверять Роскомнадзор и чем регламентируются проверки

Роскомнадзор, отечественный уполномоченный государственный орган по защите прав субъектов ПДн, имеет право проводить проверки юридических лиц и индивидуальных предпринимателей на предмет выполнения ими положений Законодательства РФ в области защиты ПДн. При этом проверки проводятся как Центральным Аппаратом (план проверок и отчеты о деятельности публикуются на официальном сайте), так и Управлениями по Федеральным округам (например, на сайте Управления Роскомнадзора по ЦФО размещены планы деятельности и отчеты на последние 10 лет).

Проверки Роскомнадзора регламентируются Постановлением Правительства РФ №146 от 13.02.2019 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных». В соответствии с этим Постановлением проверки бывают как плановыми (практика показала, что регулятор проверяет в течение года группы компаний, объединенных по общему признаку, например, по сфере деятельности), так и внеплановыми: они могут проводится по поручению Президента, Правительства РФ или по решению Руководителя Роскомнадзора в рамках проведения прокурорской проверки, в случае неисполнения предыдущего предписания регулятора, а также в случае поступления жалоб от субъектов ПДн. При этом внеплановые проверки могут быть только выездными, а плановые могут быть как документарными, так и выездными.

Специалисты Роскомнадзора имеют право доступа к информационным системам операторов персональных данных. При проведении проверок инспекторы работают парами: один проверяет документы, второй — информационные системы. Специалист, который специализируется на электронных ресурсах, обладает достаточным опытом и уровнем подготовки, чтобы уже на старте работы за вашим компьютером увидеть, как обрабатываются данные в вашей системе, соблюдают ли сотрудники требования к безопасности, начиная с парольной политики и блокировки экрана.

В процессе проверки специалисты Роскомнадзора изучают внутренние нормативные документы по обработке ПДн, осматривает места хранения ПДн, требует наглядно продемонстрировать обработку ПДн в информационных системах. Как правило, в случае выявления недостатков регулятор выносит предписание на устранение нарушений в заданные сроки, а штрафует за отсутствие правовых основ для обработки ПДн (например, за отсутствие задокументированных фактов дачи согласия субъектами ПДн), за несоответствие целей обработки и объема ПДн, за отсутствие необходимых уведомлений и политик на сайте оператора при условии сбора ПДн на нем.

Что проверяет Роскомнадзор

Постановка на учет в Роскомнадзор и подача уведомления

Каждая новая организация должна подать в органы Роскомнадзора информацию о том, чем она занимается, какие данные обрабатывает и кто из сотрудников несет ответственность за эту сферу (ст. 22 Закона от 27.07.2006 № 153-ФЗ). Таким образом, Роскомнадзор на начальном этапе уже имеет представление о том, какие данные вы обрабатываете, и исходя из этого, ведомство принимает решение, когда к вам прийти с проверкой.

Как отправить уведомление в Роскомнадзор через сайт. Этот вариант выбирают гораздо чаще. Он довольно удобен и понятен:

  • зайти на официальный ресурс Роскомнадзора;
  • найти форму уведомления;
  • в онлайн режиме внести нужные данные;
  • после нажать на вкладку «Отправить электронное уведомление и подготовить форму к распечатке»;
  • распечатать документ в бумажном виде;
  • заверить (таким же образом, как указано в прошлом разделе).

Уведомление на бумажном носителе в качестве подтверждения отправляется почтой. На рассмотрение заявки надзорному органу дан месяц со дня отправки в электронном варианте.

Основным минусом способа считаются сложности с внесением данных в уведомление.

Не стоит думать, что незарегистрированные компании останутся без внимания инспекторов. Как раз наоборот: к ним у ведомства повышенный интерес.

Как проверить, стоит ли организация на учете в Роскомнадзоре

Зайдите на сайт Роскомнадзора, в боковом меню в разделе «Реестр операторов» выберите пункт «Реестр». Внесите в открывшуюся форму название или ИНН организации. Если в результатах поиска нет вашей компании, значит, она не стоит на учете в Роскомнадзоре.

Ответственный за организацию работы с персональными данными

В крупных компаниях таких сотрудников может быть несколько. В небольших компаниях работу с персональными данными может вести руководитель службы безопасности или директор по персоналу. Это решает сам работодатель. Зависимости от формы собственности организации или количества сотрудников нет. Важно определить, что конкретно делает этот человек исходя из требований законодательства. Именно он и будет представлять интересы компании при проверках Роскомнадзора. 

Внутренняя политика по персональным данным

Внутренняя политика по организации обработки персональных данных — обязательный документ для всех работодателей как операторов персональных данных (ст. 18.1 Закона № ФЗ-152). Политика описывает общий порядок: какие категории персональных данных обрабатываете, что вы с ними делаете и кому передаете.

  • Ключевое условие — разместить документ на сайте компании, если у компании есть сайт. Если сайта нет, то в открытом доступе, например при входе в офис, чтобы любой желающий мог прочитать.

Локальные нормативные акты по персональным данным

Это те документы, которые содержат конкретные правила и условия работы:

  • какие данные обрабатываются и с какой целью,
  • кто субъекты персональных данных в компании,
  • куда персональные данные передаются,
  • какие информационные системы используются,
  • как обеспечивается защита информационных систем,
  • какой класс присваивается информационной системе,
  • как хранятся документы, содержащие персональные данные,
  • как осуществляется сбор персональных данных,
  • как уничтожаются персональные данные и пр.

Таких документов может быть несколько, например, для каждого вида информации — свой. Все зависит от внутренней системы документооборота. Главное, чтобы все эти ЛНА определяли порядок и обозначали цель обработки информации. Ознакомьте сотрудников с теми документами, которые на них распространяются.

Один из самых важных документов при проверке — согласие на обработку персональных данных. Требования к содержанию, составу  и форме согласия установлены ст. 9 Закона № 152-ФЗ. Как показывает практика, работодатели далеко не все и не всегда при оформлении получают согласие на обработку персональных данных. А штраф придется платить за каждое неоформленное или неверно оформленное согласие.

Важно на практике соблюдать цель обработки информации, которая указана в согласии. Работать с личной информацией другого человека можно:

  • в соответствии с требованиями действующего законодательства — согласия не нужно;
  • для достижения целей, которые ставит для себя работодатель как оператор персональных данных, — согласие обязательно. 

Пример. Чтобы заключить трудовой договор не нужны ИНН, телефон, адрес проживания человека (ст. 57 ТК РФ), но работодатели чаще всего запрашивают эту информацию. Для чего, если по закону они не нужны? Для достижения своих внутренних целей: поздравлять с днями рождения, использовать в документах, делать визитки и пр. Речи об этом в законодательстве не идет, поэтому вы обязаны взять с сотрудника согласие, в котором будут указаны конкретные цели использования дополнительных данных. На это Роскомнадзор тоже обращает внимание.

Хранение и уничтожение персональных данных в обществе

Срок хранения информации определяет человек, когда подписывает согласие на их обработку. Работодатель обязан уничтожить персональные данные, если:

  • достигнуты цели;
  • истек срок хранения, указанный в согласии;
  • сам субъект попросил уничтожить персональные данные;
  • данные обработали неправомерно, например с другими целями. 
  • субъект персональных данных отозвал согласие на обработку персональных данных полностью или частично.

В этих ситуациях вы должны уничтожить документы, содержащие персональные данные, а также данные из информационных систем и оформить документ, который защитит интересы компании перед Роскомнадзором, — акт. Формат акта законодательно не определен, но вы можете утвердить его ЛНА.

Создайте комиссию из тех сотрудников, которые будут фактически уничтожать персональные данные в информационных системах и на бумажных носителях. 

Жалобы о нарушении прав субъектов персональных данных

Если в Роскомнадзор от сотрудников компании или других людей поступали подобные жалобы, инспекторы отдельно изучат:

  • проводились ли до этого проверки роскомнадзором и какие нарушения были выявлены;
  • исправил ли их работодатель;
  • не увеличился ли масштаб этого нарушения, например, в прошлый раз пожаловался один человек, а сейчас нарушение касается уже всех сотрудников.

Инспектор может попросить доказать документально, что нарушение исправлено и прекращено, а не продолжает являться длящимся.

И помните, что результаты проверки Роскомнадзора всегда можно обжаловать. Как это сделать вы можете прочитать здесь.

Оцените статью