Что проверяет Роскомнадзор

Как проводится проверка Роскомнадзора

Больше материалов по теме «Проверки» вы можете получить в системе КонсультантПлюс .

1. Полномочия Роскомнадзора
2. Разновидности проверок
3. Что именно будут проверять
4. Продолжительность проверки
5. Особенности подготовки к проверке
6. Как осуществляется проверка
7. Результаты проверки
8. Можно ли обжаловать результаты проверки?

Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.

Полномочия Роскомнадзора

У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:

1. Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
2. Надзор над предоставлением услуг в области связи.
3. Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
4. Ведение информационной системы, реестров операторов связи.
5. Регистрация СМИ.
6. Защита информации, являющейся государственной тайной.

Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.

Разновидности проверок

Роскомнадзор осуществляет следующие формы проверок:

• Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
• Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
• Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
• Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.

Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

Что именно будут проверять

Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

Роскомнадзор осуществляет контроль над следующими направлениями:

• Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
• Системы, осуществляющие обработку данных (ПК и программы).
• Наличие локальных нормативных актов.
• Исполнение положений этих актов.
• Сайт организации.

Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.

Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:

• Учредительная документация (ИНН, устав и прочее).
• Уведомление о том, что фирма работает с ПД.
• Перечень ПД, сбор которых осуществляется.
• Перечень работников, у которых есть доступ к данным.
• Приказ о допуске таких сотрудников к ПД.
• Инструкции для специалистов, которые работают с данными.
• Положение об ответственности сотрудников за разглашение ПД.
• Документ об обработке ПД.
• Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
• Соглашение о неразглашении ПД.
• Письменное согласие лиц на обработку.
• Журналы инструктажей относительно мер безопасности.
• Журналы учета носителей сведений.

Роскомнадзор также может затребовать и другие документы.

Продолжительность проверки

Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.

Особенности подготовки к проверке

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
2. Проверка соответствия деятельности информации, прописанной в едином реестре.
3. Назначение лица, ответственного за работу с ПД.
4. Составление Политики фирмы в отношении обработки ПД.
5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
6. Проверка правильности хранения документов, ограниченности доступа к ним.
7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Как осуществляется проверка

Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.

Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.

Результаты проверки

В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.

Можно ли обжаловать результаты проверки?

Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.

Как будут проверять операторов персональных данных

23 февраля вступили в силу правила проверки операторов персональных данных. Раньше правил вообще не было, только регламент Роскомнадзора. Теперь всем владельцам сайтов, рассылок, магазинов с программами лояльности, форумов и любого бизнеса с наемными работниками станет понятно, как их будут проверять.

В правилах описаны плановые и внеплановые проверки: когда могут прийти, что попросят, сколько времени займут и чем это закончится. За одно нарушение закона о персональных данных можно получить штраф до 75 тысяч рублей. Если нарушений несколько, есть риск потерять сотни тысяч. И это касается всех, у кого есть даже небольшая рассылка или интернет-магазин.

Мы изучили правила, чтобы вам не пришлось читать 17 страниц постановления. Вот как это работает.

Коротко о правилах проверок

Основные изменения для операторов персональных данных:

1. Проверки могут быть плановыми и внеплановыми, документарными и выездными.
2. Плановые проверки проводят раз в два или три года. Срок проверки — 20 дней. Предупреждают за три дня.
3. Внеплановые проверки могут проводить без ограничений после жалобы. Срок сократили в два раза — до 10 рабочих дней. Предупредят за сутки.
4. Документы для документарной проверки нужно приготовить за пять дней. Раньше давали 10.
5. Внеплановая проверка может быть только выездной.
6. Стало больше оснований для продления проверки.
7. Запрос на основании обращений граждан не считается проверкой.
8. Роскомнадзор может следить за работой и публикациями оператора в СМИ и интернете. Теперь итоги такого наблюдения — повод для внеплановой проверки.

Кого это касается?

В постановлении написано, как будут проверять операторов персональных данных. Операторы персональных данных — это люди, предприниматели и компании, которые получают, хранят и обрабатывают информацию о других людях. Например, о своих клиентах и работниках. Для них есть специальный закон. А теперь еще и правила проверок.

Вот примеры, которые попадают под действие этих документов:

1. Владелец сайта просит подписаться на рассылку. Посетители оставляют имя, фамилию и электронную почту.
2. Покупатели заказывают товары в интернет-магазине. Продавец получает от них имена, телефоны и домашние адреса для доставки.
3. Обычный магазин пробивает покупателю чек и отправляет его на номер телефона.
4. Самозанятый сдает квартиру и получает от арендатора адрес электронной почты и номер телефона для обязательной отправки чека из приложения.
5. Инфобизнесмен создает форум о криптовалютах, где люди регистрируются, добавляют свои фото и общаются.
6. Молодая мама создает сообщество для совместных закупок и обмена вещами. Там регистрируются такие же мамы, оставляют свои телефоны, профили в соцсетях и платежные данные.
7. Медицинский центр берет анализы у пациента и оформляет его на прием к врачу.
8. Компания нанимает работников по трудовым договорам, берет их паспортные данные, СНИЛС и домашние адреса.
9. Школа принимает заявления от родителей на прием детей в первый класс.
10. Бизнес-центр просит паспорт посетителя, чтобы оформить ему одноразовый пропуск.

Все эти владельцы сайтов, магазинов, бизнес-центров, форумов, рассылок и обычные работодатели — операторы персональных данных. Они должны соблюдать закон, оформлять документы и, когда положено, — уведомлять Роскомнадзор.

Любого из них могут проверить — по плану или внезапно. И оштрафовать, если найдут нарушения. А может, даже закрыть магазин и заблокировать сайт.

Что такое персональные данные

Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному человеку и позволяет его идентифицировать.

Точного списка таких данных нет, но в методичке Роскомнадзора есть примеры:

1. Фамилия, имя, отчество.
2. Дата и место рождения.
3. Адрес.
4. Семейное и социальное положение.
5. Имущество и доходы.
6. Образование и профессия.
7. Специальные данные: раса, национальность, религия, здоровье, политические взгляды. Эти данные нельзя обрабатывать.
8. Биометрические данные: фотография, образец голоса, отпечатки пальцев.

На что имеют право проверяющие

Чтобы операторы персональных данных не раздавали информацию о своих клиентах всем подряд, надежно ее хранили и удаляли по требованию, Роскомнадзор проводит проверки, находит нарушения, выносит предупреждения и штрафует.

Права представителей Роскомнадзора строго регламентированы, но их немало. Вот что они могут делать во время проверки операторов персональных данных:

1. Запрашивать информацию и документы.
2. Посещать и обследовать помещения, где работает оператор.
3. Выдавать предписания об устранении нарушений.
4. Использовать технику и оборудование для проверки и наблюдения.
5. Получать доступ к программам и базам оператора, просматривать информацию, которая нужна именно для проверки условий хранения данных.
6. Требовать прекращения обработки и удаления данных, если нарушены требования.
7. Составлять протоколы об административном правонарушении.
8. Обращаться в полицию и прокуратуру, если оператор не пускает в помещение и мешает проверке.
9. Запрашивать устные и письменные пояснения в ходе проверки.

Эти права у проверяющих есть не только в ходе выездной проверки, но и при наблюдении за тем, как оператор персональных данных работает, что публикует и как собирает информацию. При этом оператор может об этом даже не знать. Дальше расскажем, что такое наблюдение и чем оно грозит операторам.

Какие обязанности у проверяющих

При проверке операторов персональных данных должностные лица из Роскомнадзора обязаны:

1. Вовремя находить и пресекать нарушения.
2. Проводить проверки только на основании приказа. Всегда требуйте этот документ.
3. Проводить выездную проверку только при исполнении служебных обязанностей.
4. Предъявлять удостоверение и копию приказа.
5. Не мешать руководителю или уполномоченным сотрудникам компании присутствовать при проверке, отвечать на их вопросы.
6. Рассказывать о результатах проверки.
7. Принимать меры с учетом тяжести нарушений.
8. Не ограничивать права и не нарушать интересы оператора без веских оснований.
9. Соблюдать сроки проверки.

Любое нарушение — повод обжаловать результаты проверки, ее продление и даже сам факт проведения. Если что-то идет вразрез с правилами, фиксируйте детали и отправляйте жалобу руководству управления Роскомнадзора.

Плановые проверки — раз в три года

Плановая проверка — это когда Роскомнадзор заранее, на год вперед, составляет план проверок и размещает его в открытом доступе. Кто угодно может проверить, придут к нему в этом году или нет. В плане указана дата проверки, так что можно подготовиться.

Как предупредят. О плановой проверке предупредят за три рабочих дня любым доступным способом: отправят копию приказа по почте, пришлют электронное уведомление или как-то еще.

Когда могут прийти. Раньше было три основания для таких проверок, теперь только эти:

1. Прошло три года с регистрации фирмы или ИП.
2. Последнюю плановую проверку проводили три года назад.

График плановых проверок нужно искать в реестре Генпрокуратуры.

Как часто. Плановые проверки проводят раз в три года. Но теперь могут приходить и каждые два года. Это особые случаи: например, обработка биометрических данных или передача информации за границу.

Сколько длится. Плановые проверки проводят максимум 20 дней. Так было и раньше. Один раз проверку могут продлить.

Внеплановые проверки — на основании жалоб и наблюдений

Внеплановая проверка — это когда визита проверяющих нет в графике и за три дня об этом не сообщают. То есть проверка внезапная, повод может возникнуть в любое время, а причина заранее неизвестна.

Как предупредят. О внеплановой проверке предупредят за сутки.

Когда могут прийти. Для внеплановой проверки все равно нужны основания. Все они перечислены в постановлении правительства, но список теперь новый — не такой, как был в регламенте.

Вот эти основания:

1. Оператору выдали предписание для устранения нарушений, а он его игнорирует.
2. Кто-то из людей пожаловался и приложил доказательства, что оператор нарушает их права.
3. Есть поручение президента или правительства.
4. Потребовал прокурор.
5. Руководителю принесли докладную записку по итогам наблюдения за оператором: мол, тут товарищи нарушают, надо бы их проверить. И глава управления Роскомнадзора согласился и решил: проверяйте. Раньше такой причины для проверок не было.

Последний пункт самый интересный. Смотрите: за вашим сайтом и бизнесом могут просто тихонько наблюдать. Вам при этом ничего не присылают, ничего не запрашивают. Читают ваши пользовательские соглашения, проверяют галочки на формах подписки — эта процедура называется наблюдением, она предусмотрена правилами. И если есть подозрения, что вы что-то нарушаете: не спрашиваете согласия, плохо защищаете данные или не предупреждаете об их сборе, — докладная на стол и встречайте внеплановую проверку. По правилам должны согласовать эту проверку с прокуратурой, но для вас будет сюрприз.

Как часто. У внеплановых проверок нет периодичности. К нарушителям могут приходить хоть каждый месяц.

Сколько длится. Внеплановая проверка длится максимум 10 рабочих дней. Срок сократили в два раза, но один раз могут продлить.

Внеплановые проверки могут быть только выездными

Раньше внеплановая проверка могла быть документарной. Это когда просят документы. Больше документарных внеплановых проверок не будет. Значит, если вынесут решение о выездной проверке, нужно ждать гостей с удостоверениями: придут по месту регистрации или фактической работы.

Документы для проверки нужно приготовить за пять дней

Если проверка документарная, бумаги должны быть готовы в течение пяти рабочих дней. То есть и этот срок сократили в два раза. С оригиналов документов нужно сделать заверенные печатью и подписью копии и передать в Роскомнадзор. Можно отправить через интернет с усиленной подписью. Дата представления документов — это не дата отправки, а дата штампа о приемке Роскомнадзором.

Если в документах найдутся противоречия, Роскомнадзор запросит пояснения. Их придется представить в течение трех рабочих дней. Раньше для уточнения давали 10 дней.

Запрос из-за обращений граждан — это не проверка

Любой человек, которому кажется, что его данные неправильно обрабатывают, передают кому-то без разрешения или не удаляют по требованию, может написать обращение в Роскомнадзор. Каждое такое обращение обязаны рассмотреть и дать на него ответ.

Для ответа Роскомнадзору могут понадобиться пояснения интернет-магазина, банка, автора рассылки или службы доставки. Тогда им пришлют запрос: тут к вам претензии, поясните ситуацию. Этот запрос не считается документарной проверкой. Для него не нужен приказ и график на год вперед.

Как проводят выездную проверку

Выездную проверку проводят по месту работы или регистрации бизнеса. Если оператор персональных данных — физлицо без регистрации ИП, выездной проверки у него быть не может.

Когда начинается выездная проверка, представитель Роскомнадзора показывает удостоверение и приказ с информацией о сроках, основаниях и целях проверки. Еще до того как начнут проверять, оператору вручат запрос о представлении документов. Раньше такого не было. На подготовку документов дадут минимум два дня.

Во время проверки нужно предоставить проверяющим доступ в помещения и к компьютерам. Если мешать проверке, составят акт и пригласят полицию.

Если проверка придет и никого не застанет по указанному адресу, сроки приостановят. Если и потом никто не объявится, с внеплановой проверкой смогут прийти в любое другое время вообще без предупреждения.

Когда проверку могут продлить

Для каждой проверки есть сроки ее проведения. Проверяющие не могут дольше изучать документы, осматривать компьютеры и опрашивать сотрудников. Но есть причины продлить проверку. Раньше была только одна и в исключительном случае: когда объем работы очень большой. Теперь причин для продления больше:

1. В процессе проверки поступила информация о нарушении обработки персональных данных.
2. Случился форс-мажор на месте проверки: офис затопило или что-то загорелось.
3. Оператор персданных не представляет документы, которые у него просят.
4. Выяснилось, что предстоит много работы: сложные процессы, большой объем документов, несколько видов деятельности.

Проверку могут продлить только на основании приказа. С ним обязательно знакомят оператора в течение трех дней после того, как приняли решение увеличить срок.

Как оформляют результаты проверки

Когда проверка закончится, составят акт в двух экземплярах. В нем напишут, что нарушений нет или что их нашли. Представитель оператора должен подписать акт. Если отказаться, от штрафов это не спасет: в акте сделают пометку об отказе и пришлют его по почте.

Если не согласны с актом, пишите возражения и обжалуйте результаты проверки.

Если находят нарушения

Если оператор персональных данных что-то нарушил, ему выдадут предписание: устраните нарушения в такой-то срок. Максимальное время для устранения — 6 месяцев. Но конкретному оператору могут дать и меньше. Раньше этот период регламент не ограничивал.

Когда нарушение устранят, об этом нужно сообщить в Роскомнадзор. Если предписание не исполнено или не все нарушения устранили, может прийти внеплановая выездная проверка. А если в результате нарушаются права тех, чьи данные обрабатывают, Роскомнадзор может вообще запретить обработку, пока все не исправят. Для бизнеса это может означать приостановление деятельности.

За нарушения при обработке персональных данных могут вынести предупреждение, а могут оштрафовать: юрлицо — отдельно, директора — дополнительно.

Что такое контроль без взаимодействия с оператором

Чтобы находить нарушения, Роскомнадзор проводит специальные мероприятия, в которых сами операторы никак не задействованы и о которых они вообще не знают. Это наблюдение двух видов:

1. Как соблюдаются требования при размещении информации в СМИ и интернете.
2. Какие данные и документы оператор представляет в Роскомнадзор.

Это не проверка, а просто наблюдение, о котором вы даже не подозреваете. Но его результаты могут стать основанием для внеплановой проверки.

Для наблюдения должно быть задание. А для задания нужны причины:

1. поручение президента, правительства или руководителя Роскомнадзора;
2. обращения госорганов, компаний, предпринимателей, обычных людей;
3. публикации в СМИ и интернете о нарушении прав при обработке персданных.

Если по итогам наблюдения найдутся нарушения или покажется, что они есть, проверяющий пишет докладную записку. Ее рассмотрит руководитель отделения Роскомнадзора и может назначить проверку. А может без проверки попросить устранить нарушения, заблокировать или уничтожить данные. Если не выполнить это требование, составят протокол и оштрафуют: фирму — на сумму до 45 тысяч рублей, ИП — на сумму до 20 тысяч.

Я самозанятый и работаю с физлицами. Мне что, тоже регистрироваться в Роскомнадзоре и получать согласие на обработку данных?

Быть оператором персональных данных — это не значит обязательно регистрироваться в реестре и всегда запрашивать согласие. Если вы получаете и храните чьи-то данные, вы уже оператор. ИП и юрлиц могут проверить планово и внезапно, вам нужно оформлять документы и соблюдать закон.

При этом не все операторы должны регистрироваться в реестре Роскомнадзора. И не всегда нужно получать согласие: по закону обрабатывать данные можно и без согласия.

Например, если вы запрашиваете электронную почту для отправки чека, согласие не нужно. Если просите адрес для доставки пиццы, согласие тоже не нужно. Так же и с уведомлением Роскомнадзора: если арендатор квартиры или покупатель торта передал вам данные для договора или доставки, это не повод регистрироваться в реестре. Но при этом вы оператор персональных данных и должны соблюдать остальные требования закона. Вас могут проверять, штрафовать и блокировать.

Проверка Роскомнадзора на 2022 год – что проверяют, как подготовиться, виды проверок

Здравствуйте! Сегодня мы обсудим еще один вид проверок, затрагивающий каждого работодателя, а именно инспекции Роскомнадзора. О том, как они проходят, и как к ним подготовиться, читайте в нашей статье.

Содержание

• Виды проверок
• Что проверяет Роскомнадзор
• Как подготовиться к проверке Роскомнадзора
• Как проходит проверка Роскомнадзора
• Советы предпринимателям

Виды проверок

Процедура проверки во многом зависит от ее вида. Основные типы проверок:

1. Плановые. Их график составляется заранее, еще в конце предыдущего года, и публикуется на сайте. Кроме того, проверяемого предупредят письмом или лично как минимум за три дня до начала инспекции.
2. Внеплановые. Они инициируются после поступления жалоб от недовольных клиентов или даже от доноса конкурента. В зависимости от серьезности предполагаемого нарушения о проверке могут предупредить за сутки, а могут и не предупредить вовсе.
3. Документарные. Проверяется пакет документов, который по запросу предоставляется в контролирующий орган.
4. Выездные. Осматривается территория предприятия.

Что проверяет Роскомнадзор

Далеко не все знают, за какую область отвечает Роскомнадзор, или иначе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Роскомнадзор контролирует работу операторов любых персональных данных (сотрудников или клиентов).

Подконтрольными Роскомнадзору субъектами выступают все предприятия, большинство ИП и даже некоторые граждане, которые вне зависимости от объема, обрабатывают и собирают информацию о клиентах, сотрудниках и других гражданах.

У вас есть наемные работники? Если ответ положительный, то будьте уверены, вы уже точно попадаете под проверки Роскомнадзора по персональным данным.

Трудовой Кодекс РФ дает нам такое толкование термина: персональные данные — сведения, которые необходимо передать работодателю для осуществления служебных обязанностей. Например , это паспортные данные, номер телефона, адрес и даже факты биографии (образование, опыт работы, семейное положение).

1. Документы, включающие в себя персональные данные. Если проверка выездная – еще и условия их хранения, организацию места хранения. Собственно хранение данных на предприятии может быть физическим или электронным, Роскомнадзор проверяет оба метода;
2. Обрабатывающие их системы (компьютеры и программы);
3. Внутренние нормативные акты, касающиеся обработки и хранения персональных данных, и их практическое соблюдение;
4. Сайт компании в интернете. Например, предприятие могут оштрафовать, если на его сайте производится сбор персональных данных (для регистрации нужно вводить свое имя, номер телефона), но не размещены подробности дальнейшей работы компании с персональными данными.

Единого перечня документов, которые подвергаются проверке, не существует, но приблизительный список такой:

• Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав общества и прочие);
• Копия уведомления о намерении осуществлять работу с персональными данными (можно заменить выпиской из реестра операторов);
• Список персональных данных, собираемых и охраняемых вашей компанией;
• Список сотрудников, имеющих доступ к персональным данным, вместе с приказом об их допуске;
• Инструкции сотрудников, которые в ходе своей трудовой деятельности обрабатывают персональные данные и обеспечивают информационную защиту;
• Положение об ответственности работников за разглашение персональных данных и нарушение запрета доступа к ним;
• Положения о коммерческой тайне, о защите персональных данных, хранящихся на предприятии;
• Положения об особенностях обработки персональных данных, в том числе их обезличивания;
• Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности);
• Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи сотрудников по требованиям информационной безопасности);
• Соглашения о неразглашении персональных данных, подписанные всеми сотрудниками;
• Бланки согласия граждан на обработку их персональных данных;
• Журналы инструктажей сотрудников по вопросам информационной безопасности и прочих внутренних контрольных мероприятий режима защиты;
• Журналы учета всех носителей информации, а также средств защиты информационных систем.

Как подготовиться к проверке Роскомнадзора

Перед любой проверкой важна правильная подготовка. Давайте рассмотрим, какие мероприятия помогут не ударить в грязь лицом перед инспектором.

Проверка Роскомнадзора одна из самых сложных в плане подготовки. Данные – вещь нематериальная, для обеспечения безопасности их недостаточно положить в сейф под ключ. Нужно привести в порядок огромный пакет документов, и не удивительно, что сделать это самостоятельно, не упустив ничего из виду, задача не из легких.

Крупные операторы обычно не скупятся на содержание в штате фирмы специально обученного сотрудника, который следил бы за всеми бумагами, информационными системами и руководил подготовкой к проверке.

Для предприятий поменьше есть другой, но тоже недешевый вариант – нанять стороннего эксперта. Он поможет единожды систематизировать хранение и обработку персональных данных на фирме.

Если эти два варианта предпринимателю не по карману, придется все делать собственными силами.

Основной план подготовительных мероприятий выглядит так:

1. Убедитесь, что ранее вы подавали в Роскомнадзор уведомление об обработке персональных данных. Подавать его нужно прежде, чем начинать деятельность, и опоздание уже становится поводом для штрафа. На практике Роскомнадзору почти всегда удается доказать, что каждый работодатель является оператором персональных данных. Какие бы факты он ни приводил в доказательство обратного.
2. Проверьте, соответствует ли ваша текущая деятельность указанному в едином реестре. Уточните содержание заявления, которое вы ранее подавали в Роскомнадзор и при необходимости внесите в него изменения. Необходимую для этого форму можно скачать на сайте Роскомнадзора. Именно несоответствие этих данных и фактической деятельности выступает самой распространенной причиной штрафа от Роскомнадзора. Например, даже назначение другого ответственного за обработку персональных данных сотрудника уже становится основанием для штрафа.
3. Назначьте ответственного за обработку персональных данных, вместе с ним приступайте к подготовке всех документов, сопровождающих путь персональных данных от сбора, до хранения и уничтожения.
4. Обязательно оформите «Политику компании в отношении обработки персональных данных». Вы можете дать документу другое название, но суть в том, что он станет основополагающим сводом правил и инструкций в интересующем Роскомнадзор вопросе.
5. Подготовьте к проверке всех сотрудников. Ознакомьте их с документами по работе с персональными данными. Установите четкие правила поведения с инспекторами, если ожидается выездная проверка. Очень часто у проверяющих возникают вопросы к простым работникам. Отработайте с ними тактику «глухой защиты» – ничего не говорить, ничего не подписывать без присутствия руководителя. Вы действительно имеете на это право.
6. Проверьте, как и где вы храните бумаги, особенно ксерокопии паспортов, кто имеет к ним доступ.
7. Проверьте материально-техническое оснащение офиса: замки на важных помещениях, наличие сейфов для документов.
8. Воспользуйтесь специальными онлайн-сервисами для подготовки документов. Они бывают совсем бесплатными или коммерческими, но в любом случае дешевле офлайн специалиста. Особенно если вы практически не знакомы с законодательством о персональных данных, сервисы дадут исключительно актуальные подсказки по подготовке.

Как проходит проверка Роскомнадзора

Начинается проверка с уведомления проверяемого. В нем указываются сроки и реквизиты инициирующего приказа. Прилагаются, кроме того, копия самого приказа, план контрольных мероприятий.

Сначала проверяют документы. На предприятие отправляется запрос, на который необходимо ответить в течение 10 дней. Предприниматель предоставляет копии документов, заверенные подписью и печатью. Свидетельство нотариуса не требуется. Если в документах содержится вся необходимая для разъяснения ситуации информация, то до выездной инспекции дело не дойдет.

Но если в бумагах будут обнаружены ошибки или у инспектора останутся вопросы, то тогда он лично навестит предпринимателя. Посетителей должно быть минимум двое, они обязаны предъявить удостоверения и копии приказа о проведении проверки.

Длится выездная проверка 20 рабочих дней, и еще на 20 дней она может быть продлена, если требуется провести дополнительные исследования.

Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки.
Результат проверки можно обжаловать. Сделать это можно как письменно, так и устно (например, в ходе личного приема или по телефону – подробности можно найти на сайте территориального органа Роскомнадзора). Рассматривается жалоба в течение месяца.

Советы предпринимателям

Во время проверки:

1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
3. Не паникуйте;
4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Проверка Роскомнадзора: тонкости прохождения проверки, о которых Вам не расскажет ни один контролирующий орган

Частенько, получив письмо о проведении плановой проверки Роскомнадзора, компании вдаются в панику и готовят себя к самому худшему исходу. Давайте разбираться вместе, как проходит проверка Роскомнадзора, где узнать о ее проведении заранее, как провести аудит по персональным данным, и на что обратить внимание, чтобы обезопасить компанию от штрафа, который может составить свыше 6 000 000 рублей. (КоАП РФ Статья 13.11. «Нарушение законодательства Российской Федерации в области персональных данных»).

Проверка Роскомнадзора — как заранее узнать о проведении проверки?

Посмотреть планируется ли плановая проверка в отношении Вашей организации достаточно легко. Эта информация ежегодно публикуется в едином реестре проверок Роскомнадзора и является общедоступной.

В соответствии с Постановлением Правительства №146 от 13 февраля 2019 г. «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» плановые проверки по общим правилам проводятся не чаще одного раза в 2 года со дня окончания его последней плановой проверки. О начале проведения проверки контролирующий орган должен уведомить организацию в срок не позднее, чем за три рабочих дня до начала ее проведения, направив копии приказа заказным почтовым отправлением с уведомлением о вручении, или посредством направления электронного документа, подписанного усиленной квалифицированной электронной подписью уполномоченного должностного лица.

Рекомендуем заранее проверять наличие организации в реестре проверок на будущий год и начать готовиться к мероприятию, не дожидаясь официального уведомления РКН.

Роскомнадзор постучался в дверь – с чего начнется проверка Роскомнадзора в 2022 году

В этом году к нам обратился клиент за сопровождением их организации при прохождении проверки Роскомнадзора и за предварительным аудитом процессов работы с персональными данными в компании. На их примере мы и рассмотрим, как проходила проверка и какие подводные камни встретились нам при ее прохождении.

Обычно проверка Роскомнадзора проходит в три этапа. Как же прошла у нас проверка на практике?

На практике понедельник начался со стука в дверь контролирующего органа и предъявления служебного удостоверения участника проверки. Совместно с удостоверением сотрудник вручил нам заверенную копию приказа о проведении проверки, который заранее был утвержден комиссией и сделал запись в журнале проверок юридического лица.

Как правило, на следующем шаге, большинство организаций зарабатывают минус к карме и запись в справке о результатах проведения проверки. Мы же с компанией заранее постарались предусмотреть все тонкости, а именно: встретить проверяющую комиссию уполномоченным лицом, которое представляет интересы оператора персональных данных при проведении проверки с соответствующим распоряжением и доверенностью на право представления юридического лица при проверке. Таким лицом в организации, как правило, является человек ответственный за организацию обработки персональных данных, понимающий процессы работы с персональными данными внутри компании, например, руководитель организации, исполнительный директор и др.

После официального знакомства комиссия вручила нам письменный запрос на предоставление перечня документов для проверки, исходя из данных, заявленных в уведомлении о начале обработки персональных данных. Обратите внимание, документ должен быть подписан председателем комиссии, а запрашиваемая информация должна быть строго в соответствии с информацией в документе.

Так же рекомендуем скрупулезно подойти к отражению действительности по обработке персональных данных при отправке уведомления в Роскомандозор, поскольку в документе должны быть четко отражены цели обработки персональных данных, категории обрабатываемых персональных данных, сроки обработки персональных данных и другие важные моменты работы вашей компании. В этом случае надеяться на русское «авось» или попросту скачать файл из интернета нельзя, поскольку цели, субъекты обрабатываемых персональных данных, категории будут сильно разниться с документами сторонней компании даже схожей по специфике и сфере деятельности с Вашей. (Подробнее об отправке уведомления в РКН).

На случай, если проверяющие органы выявили несоответствие сведений в уведомлении с фактической деятельностью организации, уполномоченное лицо займется проверкой документации, свидетельствующей об уведомлении уполномоченного органа об изменении сведений, содержащихся в уведомлении. К счастью, перед проверкой РКН совместно с клиентом мы обнаружили данный недочет и своевременно подали данные в РКН на внесение изменений. Изменения необходимо было отразить постольку незадолго до прохождения проверки клиентом были дополнены цели обработки персональных данных и категории обрабатываемых персональных данных.

Так же у компании целей для обработки персональных данных оказалось гораздо больше, чем просто работа с персональными данными сотрудников компании. Поэтому следующие несколько часов мы совместно с представителями РКН погрузились в плавание: по серверным мощностям, договорам аренды облачных серверов, по проверке наличия форм согласия и политики конфиденциальности на сайте компании и продуктовых страницах.

Роскомнадзор: что проверяет: план проверок

В последнее время Роскомнадзор прочно ассоциируется с запретами и скандалами вокруг интернет-площадок. Но это далеко не самая важная часть работы организации. С деятельностью Роскомнадзора могут столкнуться многие люди по своим рабочим обязанностям, поэтому будет нелишним знать, чем занимается этот орган.

Когда Роскомнадзор проводит плановые проверки

Основная деятельность Роскомназдора – это защита информации. С ней в той или иной степени работает каждое предприятие – любому работодателю нужна информация о сотрудниках, контрагентах и т.д. Чтобы эти файлы не использовались во вред их владельцам, назначается ревизия Роскомнадзора.

Инспекции бывают четырёх видов, основная из них – плановая. Они происходят строго по графику, который можно увидеть на сайте и подготовиться к ним заранее. Частота проверок – раз в 3 года, при работе с некоторыми категориями информации проверки бывают чаще – раз в 2 года. Если организация молодая, первая встреча с проверяющими состоится только через 3 (или 2) года после открытия.

Остальные виды проверок:

• внеплановая;
• документарная – высылаются документы по списку, может быть только плановой;
• выездная – сотрудники приезжают на предприятие (планово или внепланово).

Чтобы проверить организацию, должны быть веские основания. Директор должен быть осведомлён о том, что именно послужило причиной внимания контролирующих органов.

Внеплановые проверки Роскомнадзора

Такие ревизии происходят, когда есть подозрения, что организация пользуется личной информацией людей в неблаговидных целях. Основания для неё – жалобы на спам, решение прокуратуры или неполное выполнение предписаний после предыдущей плановой проверки. О подобном мероприятии руководителя предупреждают за сутки.

Проверка Роскомнадзора: как подготовиться и избежать штрафов

По законодательству оператором персональных данных считается любая организация, которая взаимодействует с людьми и их документами, т.е. под это определение подпадают все предприятия, где в штате больше одного человека. Проверка касается не только юридических лиц, но и ИП, в которых есть хотя бы один наёмный сотрудник, и даже физических лиц, если они работают с чужими карточкам.

Важно! Если документы содержатся в порядке, то специальной подготовки к ревизии Роскомнадзора не потребуется.

Подготовку лучше начать с того, что изучить план проверок Роскомнадзора на 2019 год. Если в нём нет нужной организации, значит, в этом году можно не бояться. О плановой проверке дополнительно приходит предупреждение за 3 дня до неё, но на всякий случай лучше держать документы в порядке постоянно.

Проведение внутренней инспекции

Первый шаг – назначение ответственного. За обработку и безопасность персональных данных должны отвечать уполномоченные сотрудники. В зависимости от размера фирмы это может быть руководитель, бухгалтер или кадровик, который занимается этим в качестве дополнительной ответственности, либо специально нанятый для этого сотрудник или отдел.

Второй шаг – выяснение, с какими именно данными имеет дело предприятие. Ответственный за персональные данные должен знать, что именно он собирает и для чего. На основании этого руководитель составляет внутренние инструкции по работе с персональными данными и разрабатывает политику их обработки. С этими документами должны быть ознакомлены все сотрудники, для которых это важно. Последний шаг – уведомление Роскомнадзора, что предприятие работает с персональными данными людей.

Важно! Документарная проверка может быть только плановой, это основной вид инспекций для малых предприятий.

Все эти действия нужно сделать сразу, как только предприятие соберётся работать с персональными данными. Они позволят избежать обвинений в непрозрачности бизнеса, а также срочной подготовки к проверкам и бесконечных стрессов. Если документация ведётся аккуратно, то инспекция не отнимет много времени и нервов.

Сотрудники должны быть готовы

Сотрудники учреждения должны знать, кто именно отвечает за персональные данные. Ответственный должен регулярно отчитываться руководству о том, как используется информация. Также он должен обеспечить сохранность данных – бумажные документы должны лежать в сейфах с замками, а электронные – в файлах без общего доступа.

Следует предупредить сотрудников, что во время проверок Роскомназдора по плану нужно вести себя спокойно. Излишняя нервозность, неаккуратность в документах могут навести проверяющих на мысль, что дела в организации или отделе идут не так хорошо, как хочется показать.

Сотрудники и инспекция

Роскомнадзор: что проверяет и на что обращает внимание

В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.

При плановой ревизии важно:

• какие именно данные обрабатывает компания;
• кто отвечает за обработку;
• где можно ознакомиться с политикой компании (в том числе на сайте);
• кому передаются данные;
• как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
• как хранятся документы, и как контролируется доступ в этих помещениях;
• насколько всё перечисленное соответствует заявленному в документах.

Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.

Что такое персональные данные

Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.

Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.

Важно! Если согласия нет, могут последовать наказания – штрафы, блокировка сайта, приостановка работы, отзыв лицензии.

Все должно храниться в сейфе

Как проходит проверка Роскомнадзора по защите персональных данных

Программа предусматривает поэтапное взаимодействие:

• предприятие получает уведомление (при плановой проверке – за 3 дня, при внеплановой – за сутки), в нём указывается дата проведения и номер приказа;
• при документарной проверке (только плановой) высылается запрос и перечень документов, которые нужно представить. Руководитель высылает копии, заверенные своей подписью;
• при выездной проверке (плановой или внеплановой, может следовать за документарной, если выявлены недочёты) приезжают два инспектора, которые проверяют соответствие документов реальному положению дел;
• контролирующий орган выносит решение и даёт предписания;
• предприятие выполняет предписания.

Важно! Если предписания выполнены в срок, предприятие продолжает свою деятельность без взысканий.

Где публикуется реестр Роскомнадзора

Чтобы руководители могли заранее узнать, когда придёт Роскомнадзор, график проверок публикуется на сайте. Списки проверяемых компаний составляются на каждый год и хранятся в течение длительного времени, так что можно поднять информацию за прошедшие года.

Можно ли обжаловать результаты

Если проверка была проведена не по правилам, то руководитель предприятия может обжаловать её результаты. Важно обратить внимание на сроки уведомления, аккредитацию инспекторов, соблюдение ими правил проверки. Если что-то из этого было нарушено, а предприятие пострадало, составить возражение можно в течение 15 дней.

Не нужно бояться инспекции

С персональной информацией работают все – образование, здравоохранение, общепит, и даже небольшое ИП с одним сотрудником. Утечка личных карточек может нанести серьёзный вред, и именно на его предотвращение направлена инспекция Роскомнадзора.

Проверки по защите персональных данных: как проходят и можно ли оспорить

Роскомнадзор проверяет всех, кто собирает персональные данные: юридических лиц, индивидуальных предпринимателей и простых людей. Инспектор должен проводить проверку по правилам. Если он их нарушит, результаты проверки можно оспорить. Рассказываем, как проходит проверка, как себя вести и как оспорить результаты.

• Автор: Марина Сенинг
• Иллюстратор: Ануш Микаелян

К кому могут прийти с проверкой

Роскомнадзор проверяет людей, предпринимателей и компании, которые собирают, хранят, обрабатывают и передают чужие персональные данные.

Персональные данные — это любая информация, которая позволяет идентифицировать человека:

• фамилия, имя, отчество;
• дата и место рождения;
• адрес прописки, проживания;
• электронный адрес;
• номер телефона;
• национальность;
• политические и религиозные убеждения;
• биометрические данные: отпечатки пальцев, идентификация по голосу, результаты медицинских анализов, фотография.

Работодатели собирают персональные данные, когда оформляют сотрудников на работу. Авторы рассылок — когда человек подписывается на письма. Продавцы — когда просят покупателей оставить имя и номер телефона для того, чтобы отправлять предложения по скидкам.

Если вы собираете номера телефонов друзей, закон вас не касается. Но если у вас есть блог и вы собираете электронные адреса читателей для рассылки, вы становитесь оператором персональных данных.

Что проверяет Роскомнадзор

1. Как оператор соблюдает требования закона «О персональных данных».
2. Документы с правилами обработки персональных данных сотрудниками компании или индивидуальным предпринимателем (ч.1 ст. 18.1 закона 152-ФЗ).
3. Программы и технику, с помощью которых оператор обрабатывает персональные данные: компьютер, принтер, сканер программа «1С:Предприятие».

Бизнесмена могут проверить по плану, неожиданно или просто наблюдать за ним:

1. Плановые проверки проводят только удалённо — Роскомнадзор просит прислать ему нужные документы.
2. Внеплановые проверки всегда проводят на месте — ревизоры приезжают на работу или домой к оператору.
3. Наблюдение за оператором — сотрудники Роскомнадзора тайно наблюдают за бизнесменом со стороны.

Плановая проверка

Роскомнадзор проводит плановую проверку раз в три года, по графику. Ищите себя в сводном плане проверок на сайте Генпрокуратуры.

Некоторых Роскомнадзор проверяет чаще — раз в два года:

1. Если оператор собирает биометрические и специальные персональные данные: национальность, состояние здоровья, политические взгляды.
2. Если оператор отправляет персональные данные за рубеж.
3. Если оператор собирает персональные данные в государственных информационных системах — реестрах и инфосистемах министерств России. Например, Единая сеть обращения граждан или Реестр федерального имущества.

Что делать при плановой проверке

1. Вовремя подготовьте документы. Роскомнадзор предупреждает оператора о проверке не позже, чем за три рабочих дня до начала: отправляет приказ по почте или электронным письмом. Вместе с приказом оператор получает список документов, которые нужно отправить инспектору. Документы можно отправить по почте или электронным письмом. На бумажных документах нужно расписаться и поставить печать, на электронных — поставить электронную подпись.

У оператора есть пять рабочих дней, чтобы ответить на запрос и прислать документы. Датой подачи документов считается день, когда инспектор их получил. Если оператор опоздает, Роскомнадзор придёт к нему с внеплановой проверкой.

2. Следите за сроками проверки. У инспектора есть 20 дней, чтобы провести проверку. Если их не хватит, он может продлить срок ещё на 20 дней, но только один раз. Максимальный срок проверки — 40 дней.

3. Проверьте акт проверки. Инспектор составляет акт в двух экземплярах. В акте он перечисляет нарушения или указывает, что их нет. Один экземпляр инспектор отправляет оператору по почте или электронным письмом не позднее 10 дней со дня подписания акта проверки.

Чем грозит плановая проверка

Если инспектор найдёт ошибки или неточности, он отправит оператору письмо — даст три рабочих дня на пояснения. Если оператор не ответит, Роскомнадзор придёт с внеплановой проверкой — в офис или домой к оператору.

Если инспектор найдёт нарушения, то вместе с актом пришлёт предписание, где будет сказано, что нужно исправить. В предписании будет указан срок — максимум шесть месяцев со дня выдачи. Оператор должен вовремя исправиться и подтвердить это документами — принести их лично или отправить письмом. Если он нарушит предписание, Роскомнадзор придёт к нему с внеплановой проверкой.

Роскомнадзор может запретить собирать и обрабатывать персональные данные до того, как оператор исправится. Если он продолжит работать с персональными данными несмотря на запрет, его могут оштрафовать.

Внеплановая проверка

Роскомнадзор может прийти с внеплановой проверкой в любое время, но только если для этого есть основания:

1. Оператор не исправил нарушения, которые у него нашли во время наблюдения за ним, плановой или предыдущей внеплановой проверки.
2. Люди пожаловались, что оператор нарушает их права (ст. 14-17 закона «О персональных данных»);
3. Президент, правительство Российской Федерации или прокурор поручили проверить оператора.
4. Сотрудники Роскомнадзора нашли нарушения во время наблюдения за оператором.

Как себя вести во время внеплановой проверки

1. Проверьте документы ревизоров. Изучите удостоверения сотрудников, приказ и запрос с перечнем документов для проверки. В приказе должно быть указано, кто проводит проверку, по каким причинам, что будут делать сотрудники Роскомнадзора, сроки и условия выездной проверки. Сверьте фамилии и должности сотрудников Роскомнадзора из приказа с данными удостоверений.

2. Предоставьте информацию по запросу. Предоставьте инспекторам документы и покажите технику, перечисленную в запросе. Важно уложиться в срок, который указан в запросе — максимум два дня с момента вручения. Если во время проверки окажется, что нужны дополнительные документы, инспектор может вручить вам дополнение к запросу.

Если передаёте документы на бумаге, сделайте копии, заверьте печатью и подписью. Если отправляете их в электронном виде — подпишите электронной подписью. Если не успеваете в срок, напишите и отправьте в Роскомнадзор объяснительную.

3. Присутствуйте при проверке. Вы имеете право присутствовать при проверке, давать сотрудникам Роскомнадзора пояснения, отвечать на их вопросы.

4. Не мешайте проверяющим. В правилах сказано, что оператор должен свободно пускать ревизоров в помещение и к компьютеру, предоставлять необходимые документы. Если вы будете мешать, откажетесь показывать документы или отвечать на вопросы, сотрудники Роскомнадзора составят акт о воспрепятствовании проведению выездной проверки и через пару месяцев придут ещё раз. Если вы будете сильно мешать, могут вызвать полицию.

5. Следите за сроками. Инспектор предупреждает оператора о проверке не позднее, чем за 24 часа. Роскомнадзор может проводить внеплановую проверку не дольше 10 дней. Если нужно, срок могут увеличить еще на 10 дней, но только один раз. Максимальный срок проверки — 20 дней.

6. Проверьте правильность составления акта. В акте должна быть информация о выявленных нарушениях или об их отсутствии. Если нарушения есть, в акте должны быть указаны статьи закона и пункты нормативных актов, которые оператор нарушил.

Проверяющий составляет акт проверки в двух экземплярах и прилагает к нему справки, протоколы и пояснения оператора. Акт должны подписать представитель Роскомнадзора и оператор. Если вы откажетесь расписываться, ревизор сделает об этом пометку. Проверяющий отдаёт оператору под расписку один экземпляр акта с копиями приложений.

Оператор должен сделать пометку в журнале по учёту проверок о том, что ознакомился с актом. Если такого журнала нет, инспектор сделает об этом запись в акте.

Если оператора не будет на месте, Роскомнадзор приостановит проверку, но не более чем на месяц. Если за это время ничего не изменится и проверяющий не сможет застать оператора на месте, он составит акт о невозможности проведения проверки. В течение трёх месяцев после составления акта Роскомнадзор может прийти с проверкой ещё раз, но уже без предупреждения.

Чем грозит выездная проверка

Если Роскомнадзор найдёт нарушения, вместе с актом проверки оператору дадут предписание об устранении нарушений. Он должен будет исправиться в течение установленного срока — максимум шесть месяцев со дня выдачи предписания. Оператор должен будет показать инспектору документы, которые подтверждают, что он исправил нарушения. Их можно отправить по почте, электронным письмом или принести в региональное управление Роскомнадзора.

Роскомнадзор может запретить собирать и обрабатывать персональные данные до того, как оператор исправится. Если он продолжит работать с персональными данными несмотря на запрет, его могут оштрафовать.

Наблюдение за оператором

Сотрудники Роскомнадзора могут наблюдать за оператором только по заданию. Для этого должны быть причины:

• президент, правительство или руководитель федерального Роскомнадзора поручили наблюдать за оператором;
• кто-то пожаловался на оператора в Роскомнадзор;
• в печатных или в интернет-СМИ появилась информация, что оператор нарушает закон «О персональных данных».

За оператором наблюдают тайно — никто его не предупреждает. Сотрудники Роскомнадзора смотрят, какую информацию оператор публикует в интернете и СМИ, какие документы отправляет в Роскомнадзор. Они могут просто посмотреть сайт и понажимать на кнопочки про согласие на обработку персональных данных.

Чем грозит наблюдение

Если сотрудники Роскомнадзора нашли нарушения, есть два варианта:

1. Роскомнадзор присылает оператору требование уточнить, заблокировать или удалить недостоверные или полученные незаконным путём сведения. Обычно на это дают 10 дней. Если оператор не исправит нарушения, его оштрафуют.
2. Роскомнадзор приезжает к оператору с внеплановой проверкой.

Когда проверку могут продлить

Роскомнадзор может продлить плановую проверку на 20 дней, внеплановую — на 10 дней. Увеличить срок проверки можно только один раз. Для этого должны быть причины:

1. Во время проверки Роскомнадзор получил от правоохранительных органов документы, из которых видно, что оператор нарушает закон.
2. На территории, где проходит проверка, произошло наводнение, затопление или пожар.
3. Во время проверки оказалось, что нужно проверить больше документов, у компании сложная структура, сложный механизм обработки персональных данных.

Если Роскомнадзор продлевает срок проверки, он издаёт приказ и в течение трех рабочих дней отдаёт копию оператору.

Как обжаловать результаты проверки

Любое нарушение правил сотрудником Роскомнадзора — повод подать жалобу. Вы можете пожаловаться на ревизоров, если:

1. Сотрудники Роскомнадзора не показали вам приказ о проведении проверки или свои удостоверения.
2. К вам приехали с выездной проверкой и попросили выйти из помещения.
3. К вам приехали с выездной проверкой и не слушают ваши объяснения.
4. Проверка проходит дольше, чем это прописано в правилах.
5. Вам не показали акт о результатах проверки.
6. Роскомнадзор запретил вам собирать и обрабатывать персональные данные, а вы считаете, что ничего не нарушали.

Если вы не согласны с результатами проверки, можете прийти в Роскомнадзор и пожаловаться на проверяющих устно. Но лучше подать письменную жалобу. Её можно отправить бумажным или электронным письмом. Если вы отправляете жалобу по электронной почте, поставьте электронную подпись.

Если вы жалуетесь на сотрудников регионального Роскомнадзора — отправляйте жалобу в региональное управления Роскомнадзора. Если жалуетесь на проверяющих из федеральной службы — в федеральный Роскомнадзор.

Сотрудники Роскомнадзора обязаны ответить в течение 30 дней со дня регистрации жалобы. Они могут согласиться с претензией полностью, частично или вообще не согласиться.

Если вы подавали жалобу в региональный Роскомнадзор и он с ней не согласился, пишите в федеральную службу. Если и там не найдёте понимания — идите в суд.

Какие штрафы грозят нарушителям

Нарушение	Граждане	Индивидуальные предприниматели	Должностные лица	Юридические лица	Статья закона
Оператор незаконно собирает персональные данные или собирает те персональные данные, которые ему не нужны	1 000 ₽ – 3 000 ₽	1 000 ₽ – 3 000 ₽	5 000 ₽ – 10 000 ₽	30 000 ₽ – 50 000 ₽	п 1. ст. 13.11 КоАП РФ
Оператор обрабатывает персональные данные без письменного согласия или неправильно его составил	3 000 ₽ – 5 000 ₽	3 000 ₽ – 5 000 ₽	10 000 ₽ – 20 000 ₽	15 000 ₽ – 75 000 ₽	п. 2 ст. 13.11 КоАП РФ
Оператор не опубликовал документ, где сказано, как он обрабатывает и защищает персональные данные	700 ₽ – 1 500 ₽	5 000 ₽ – 10 000 ₽	3 000 ₽ – 6 000 ₽	15 000 ₽ – 30 000 ₽	п. 3 ст. 13.11 КоАП РФ
Оператор не дал человеку информацию об обработке его данных	1 000 ₽ – 2 000 ₽	10 000 ₽ – 15 000 ₽	4 000 ₽ – 6 000 ₽	20 000 ₽ – 40 000 ₽	п. 4 ст. 13.11 КоАП РФ
Оператор не стал исправлять, блокировать или удалять неверные, устаревшие или незаконно полученные персональные данные, несмотря на требование их владельца или сотрудника Роскомнадзора	1 000 ₽ – 2 000 ₽	10 000 ₽ – 20 000 ₽	4 000 ₽ – 10 000 ₽	25 000 ₽ – 45 000 ₽	п. 5 ст. 13.11 КоАП РФ
Оператор обрабатывает персональные данные вручную, неправильно их хранит и не защищает компьютер, флешки, диски с персональными данными. В результате кто-то их уничтожил, изменил, скопировал, распространил	700 ₽ – 2 000 ₽	10 000 ₽ – 20 000 ₽	4 000 ₽ – 10 000 ₽	25 000 ₽ – 50 000 ₽	п. 6 ст. 13.11 КоАП РФ
Оператор вовремя не подал нужные документы или информацию в Роскомнадзор	Предупреждение или штраф 100 ₽ – 300 ₽	Предупреждение или штраф 100 ₽ – 300 ₽	Предупреждение или штраф 300 ₽ – 500 ₽	Предупреждение или штраф 3 000 ₽ – 5 000 ₽	ст. 19.7 КоАП РФ

Коротко о проверках по защите персональных данных

Роскомнадзор может прийти с проверкой к любому оператору персональных данных: в компанию, к индивидуальному предпринимателю или обычному человеку. Оператора могут проверить по плану, неожиданно или просто наблюдать за ним:

1. Плановая проверка. Раз в три года Роскомнадзор просит оператора прислать необходимые документы, проверяет их и составляет акт. Если проверяющий найдёт нарушения, оператора могут оштрафовать или прийти к нему с внеплановой проверкой.
2. Внеплановая проверка. Сотрудники Роскомнадзора приезжают туда, где оператор работает с персональными данными — в офис или домой. Инспектор проверит документы и технику оператора и если найдёт нарушения, потребует исправить. Если оператор не исправится, его могут оштрафовать.
3. Наблюдение за оператором. Проверяющие тайно следят, что оператор публикует в интернете и какие документы отправляет в Роскомнадзор. Если сотрудники Роскомнадзора найдут нарушения, они потребует их исправить или придут с внеплановой проверкой.

Любое нарушение проверяющими правил проведения проверок — повод обжаловать её результаты. Если Роскомнадзор не согласится с жалобой, можно подать в суд.

Что проверяет Роскомнадзор по персональным данным?

В предыдущем материале мы рассказали, что интересует ФСБ при проверке, связанной с персональными данными. Сейчас мы поговорим о Роскомнадзоре. Если Федеральную Службу Безопасности по большей части интересует технический вопрос, как хранятся, обрабатываются персональные данные, то Роскомнадзор акцентирует свое внимание на организационных мерах.

Чем руководствуются?

Список основных документов, содержащих правовые основания для проверки выглядит следующим образом:

Что проверяют?

Проверяют условия обработки персональных данных, делая упор исключительно на состоянии организационных мер по защите информации. В технические меры не углубляются, хотя обязательно посмотрят все информационные системы персональных данных в организации. Накануне проверки срочно устанавливать пароли на всех компьютерах нет особой необходимости, на это обращать внимания не будут.

А конкретнее?

Если конкретнее, то стоит отметить, что в разных регионах специфика проверок разная. В этом мы убедились из опыта общения с различными учреждениями, «коллегами по цеху» и непосредственно представителями проверяющего ведомства. Единую таблетку от всех проверок выписать невозможно, однако сформулировать ряд рекомендаций – вполне.

Итак, в базе Роскомнадзора должны быть сведения об операторе персональных данных, то есть, о вас. Есть исключения, но, если к вам идет проверка – значит, вы, скорее всего, у них в базе числитесь. Сведения должны быть актуальными.

Ваш сайт должен соответствовать требованиям законодательства. То есть, если у вас есть разделы «обратная связь», «обращение граждан» или другие подобные формы, на которых вы собираете любые данные о физических лицах, то вы обязаны взять с этого лица согласие на обработку его персональных данных. В настоящее время идут споры о том, является ли простановка галочки в чек-боксе юридически значимым действием, однако, сами проверяющие относятся к этому вполне лояльно. Кроме того, законодательство обязывает организацию разместить на сайте «Политику в отношении обработки персональных данных». Желательно размещать ее в таком месте, чтобы ее можно было найти как можно проще.

Что касается списка документов по защите персональных данных для проверки Роскомнадзора, то можно выделить следующие основные группы документов:

• По неавтоматизированной обработке персональных данных. Включают в себя перечень мест хранения бумажных носителей персональных данных, лиц, имеющих к ним доступ, и положение о неавтоматизированной обработке персональных данных;
• О приеме обращений субъектов персональных данных. Включает в себя положение о порядке приема обращений, набор шаблонов заявлений и обращений по этому вопросу;
• Для работы отдела кадров. Включают в себя согласия на обработку персональных данных работников и журнал ознакомления сотрудников с положениями по защите персональных данных в организации;
• По установлению уровня защищенности для информационных систем персональных данных. Включают в себя акты установления уровня защищенности информационных систем персональных данных и положения о мерах по обеспечению принятых уровней защищенности;
• О назначении ряда ответственных сотрудников по работе с персональными данными. Включают в себя назначения ответственного за организацию обработки персональных данных, ответственного за обеспечение контролируемой зоны, ответственного за безопасность информации, ответственных за обеспечение конфиденциальности персональных данных во всех подразделениях;
• По защите от несанкционированного доступа. Включают в себя положения о порядке устранения последствий от несанкционированного доступа, назначения ответственного за восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• По правилам уничтожения персональных данных. Включают в себя положения об уничтожении персональных данных, назначение комиссии по уничтожению персональных данных, акты уничтожения материальных носителей персональных данных;
• О разграничении доступа к персональным данным. Включают в себя списки сотрудников, допущенных до обработки персональных данных, списки сотрудников, допущенных в кабинеты и/или информационные системы персональных данных, положения о разграничении прав доступа, матрицу доступа, инструкции пользователям и администраторам;
• По работам с персональными данными. Перечень носит объемный характер и, в общем случае, содержит множество инструкций, регламентов и правил, описывающих хранение и передачу персональных данных внутри организации.

Безусловно, не стоит забывать про модель угроз. Сам документ проверяющие из РКН не смотрят, но им важно его наличие. Модель угроз – это вотчина ФСТЭК, но это тема совершенно другой статьи.