Проверка службы безопасности при приеме на работу

Какие данные проверяет служба безопасности при приеме на работу

Больше материалов по теме «Сотрудники» вы можете получить в системе КонсультантПлюс .

1. Что в большинстве случаев проверяет служба безопасности?
2. Аналитическая работа
3. На какие должности проводится проверка?
4. Срок проведения проверки

Деятельность службы безопасности (СБ) любой коммерческой организации на территории РФ осуществляется в соответствии с требованиями нормативно-правовых актов и внутренних положений компании:

1. Положением о службе безопасности организации, ведущей коммерческую деятельность.
2. Концепцией безопасности.
3. Правами и обязанностями СБ, определенными внутренним распорядком компании. Именно этой документацией определяются главенствующие функции службы безопасности в конкретной организации.

Какие квалификационные требования предъявляются к начальнику службы безопасности?

Решающими факторами при определении характера работы СБ в каждом конкретном случае являются следующие:

1. Особенности организационной структуры компании.
2. Расположение ее филиалов и подразделений.
3. Сфера деятельности предприятия.

С учетом того, что СБ должна не только предотвращать нанесение ущерба какого-либо характера компании извне, но и гарантировать безопасность внутри коллектива, обеспечивать спокойную работу добросовестных сотрудников, проводится доскональная проверка кандидатов, принимаемых на работу. Естественно, в данном случае возникают вопросы правового характера, так как все же в данном случае СБ является частной структурой и большое количество информации специалистам частной практики недоступно по определению. Именно по этой причине проверка службой безопасности частной компании носит относительно поверхностный характер, позволяет узнавать только самые грубые нарушения в биографиях соискателей.

Что в большинстве случаев проверяет служба безопасности?

Далеко не во всех случаях осуществляется проверка кандидатов на занимаемую должность службой безопасности, так как это достаточно длительный, сложный и затратный процесс, который оправдан только в отношении людей, претендующих на самые ответственные должности, сопряженные с высоким коррупционным риском. Затраты связаны главным образом с обращением в аутсорсинговые компании, которые уполномочены заниматься сбором определенного рода информации. Это позволяет сотрудникам службы безопасности выяснить следующие вещи:

1. Список компаний, в которых соискатель числится учредителем, главным бухгалтером или директором. Кроме того, можно уточнить организационно-финансовое состояние этих компаний на момент обращения. Информация эта необходима для исключения вероятности осуществления промышленного шпионажа.
2. Судимости соискателя (при наличии таковых), а также его причастие (как прямое, так и опосредованное) к деятельности организованных преступных группировок.
3. Работа в компаниях-конкурентах.

Применяются методики поиска информации, которые не связаны с документами. Сюда включается сбор данных о претенденте на занимаемую должность среди его бывших сослуживцев, знакомых, друзей и родственников. Несмотря на то что подобный вариант работы не отличается особой объективностью, именно благодаря ему удается узнать самые ценные сведения, которые позволяют принимать решения относительно приема людей на работу.

ВАЖНО! Между сотрудниками служб безопасности разных структур действует неписанное правило сообщать при запросе (даже если он поступает от фирм, являющихся прямыми конкурентами) данные о совершивших различные должностные преступления сотрудниках, чтобы таким образом исключать вероятность приема на работу недобросовестных лиц. Ведь далеко не всегда удается доказать причастность сотрудника к тому или иному правонарушению, поэтому таким людям предлагают «рассчитаться добровольно».

Аналитическая работа

Все остальные действия служба безопасности проводит, как правило, вместе с отделом кадров. Это следующие виды работ:

1. Анализ записей в трудовой книге соискателя. Как правило, внимание концентрируется на том, почему он был уволен с предыдущего места работы, имеют ли место увольнения согласно действующему законодательству (их еще принято называть увольнениями «по статье»), а также были ли повторные увольнения по одной и той же причине.
2. Анализ продолжительности работы на одном и том же месте. В том случае, если же человек слишком часто меняет место работы (пусть даже и по собственному желанию), то это говорит о наличии у него определенных личностных качеств, которые не способствуют быстрому вхождению в коллектив.
3. Уточнение причин, почему у человека были длительные промежутки между приемами на работу. Возможно, он работал неофициально (что при условии желания занять высокую должность в компании крайне нежелательно).
4. Выяснение всех неточностей или недопониманий, которые возникли в ходе анализа биографии соискателя. Данные моменты сотрудники службы безопасности выясняют в ходе проведения собеседования. На этом этапе имеет наибольшее значение психологический аспект, так как вероятность того, что человек проявит обеспокоенность и будет уличен во лжи сотрудниками безопасности намного выше, чем при беседе с обычными кадровиками.

Многое зависит от того, на какую должность претендует соискатель. Если осуществляемая им работа не имеет никакого отношения к коммерческой тайне или же прочей информации, имеющей большое значение, то звонка на прежнее место работы и беседы с сотрудниками СБ компании вполне будет достаточно. В противном случае будет актуален максимально глубокий анализ биографии соискателя, в особенности его карьерного и профессионального пути.

Отдельно надо отметить использование специальных опросников и психологических тестов, благодаря которым СБ и отдел кадров может уличить человека во лжи.

На какие должности проводится проверка?

Крупные корпорации могут позволить себе проверить каждого человека, которого принимают к себе на работу, однако наиболее пристальное внимание уделяется тем людям, работа которых имеет особо важное значение для успешной коммерческой деятельности компании:

1. Осуществляющих трудовую деятельность в подразделениях, где сосредоточены значительные материальные ценности, а также документация, содержащая в себе конфиденциальные данные (это необходимо для гарантии сохранности коммерческой тайны компании, а также личной информации сотрудников и деловых партнеров).
2. Сотрудников, в ходе деятельности которых может быть нанесен экономический ущерб функционированию корпорации. К этой категории принадлежат те люди, которые работают с договорами, экономисты и бухгалтеры, а также лица, в компетенцию которых входит распоряжение различными бланками и печатями, работники информационно-технического отдела.

Срок проведения проверки

Назвать конкретные сроки очень сложно, так как имеет значение огромное количество самых разнообразных факторов:

1. Должность, на которую претендует соискатель. Понятно, что чем более серьезная проверка должна быть проведена, тем больше времени она займет, так как потребуется больше информации. В том случае, когда речь идет только о беседе с предыдущим работодателем и нескольких собеседованиях, все может решиться в течение суток. Если сотрудников СБ будет смущать какой-то факт в биографии соискателя или же по какой-то причине насторожит поведение при собеседовании, процесс может затянуться на недели.
2. Профессионализм и материально-техническая база сотрудников службы безопасности, их фактические возможности осуществления поиска необходимой информации.
3. Попытки скрыть те или иные данные самим соискателем.

Проверка контрагентов службой безопасности

Рассказываем о цели и инструментах, приводим примерный порядок проведения проверки контрагента, открываем доступ к готовым регламентам проверки контрагента – на платежеспособность и налоговую безопасность.

Цели проверки контрагентов

Служба безопасности проверяет контрагента с целью:

1. Минимизации рисков образования проблемной дебиторской задолженности. Самая частая причина проверки контрагента. Анализ информации из открытых (ФНС, Арбитражный суд) и закрытых (базы данных, бюро кредитных историй) источников информации позволяет сделать оценку платежной дисциплины контрагента и сделать прогноз по формированию им проблемной (невозвратной) «дебитрки».
2. Снижения рисков отказа со стороны налоговых органов в возмещении НДС. Непроявление должной осмотрительности при выборе контрагента, предъявленный к вычету НДС налоговая может вернуть. Также чревато взаимодействие с неблагонадежными контрагентами встречными проверками, предъявлением иска по п.3 ст.122 НК (Неуплата или неполная уплата сумм налога).
3. Укрепления деловой репутации. Неблагонадежные контрагенты и мошеннические организации теряют всякий интерес к взаимодействию с предприятием, на котором должным образом организована работы службы безопасности.
4. Повышения дисциплины труда сотрудников отделов сбыта и снабжения. Регулярные проверки контрагентов оставляют мало «места для маневров» нечистым на руку сотрудникам, использующем механизм «отката» в работе с поставщиками товаров или услуг, покупателями.

Способы проверки контрагентов службой безопасности

Способы проверки контрагента выбирают сообразно цели. Условно разделить способы проверки можно на две большие группы – информационные и физические. К информационным относятся сбор и анализ данных из информационных баз и источников. К физическим – проверка реальных активов торговых и производственных компаний, выезд по месту фактического нахождения, оценка торгового и производственного оборудования, собеседования сотрудников предприятия-контрагента.

Виктор Смирнов, специалист службы безопасности дорожно-строительной компании

— Мы выполняем строительные работы на основании договора субподряда. Специфика отрасли такова, что мы зачастую вынуждены работать без предоплаты, за свой счет, используя собственные кадры и технику. Для этого мы проверяем компанию-подрядчика на предмет исполнения договорных обязательств. В числе проверок – встречи с другими субподрядными организациями, с которыми компания-подрядчик сотрудничала ранее. В ходе встреч мы выясняем, насколько своевременно и согласно договоренностям поступила оплата за выполненные работы, если возникали сложности с получением денежных средств, то какого рода и насколько критичными были задержки. Только после этого руководство компании принимает решение о том, взять ли предложенный объем работ или отказаться от взаимодействия.

Регламент проверки контрагентов службой безопасности

Перед тем как выполнять проверку контрагента следует запросить у него минимальный перечень документов.

Стартовый регламент проверки контрагента – проверка компании-партнера на существование и соответствие предоставленной информации реальному положению дел. Проверяются ИНН и ОГРН, полное и краткое наименование компании, ОКВЭДы, размер уставного капитала, изыскивается информация об учредителях и руководителях предприятия. Регламент предписывает получение сведений о регистрации компании в «адресных ямах», о нахождении руководителей в списках дисквалифицированных лиц, о задолженности юридического лица по налогам и сборам, об их участии в арбитражных процессах или в исполнительных производствах.

Чаще служба безопасности проверяет контрагента только в том случае, если сделка с ним представляется высоко рискованной. К такого рода сделкам относятся:

• Сделки по поставке или купле-продажи на сумму свыше 1 млн руб.,
• Договоры подряда или субподряда, оказания услуг или выполнения работ на сумму свыше 1 млн руб.
• Перевозка на сумму свыше 300000 руб.
• Оказание информационных, консультационных, юридических и маркетинговых услуг на сумму свыше 500000 руб.

Тогда применяется расширенный регламент проверки контрагента. Он включает в себя стартовый (базовый) уровень проверок, и дополняет эти сведения детальным анализом финансового состояния контрагента, проверку его кредитной истории.

В бухгалтерской отчетности проверяющую сторону интересуют отчет о прибылях и убытках за несколько лет. Компания-контрагент должна показывать устойчивый рост. А также пассивы – долгосрочные и краткосрочные обязательства.

В кредитной истории важно отсутствие просроченной задолженности, повышенного интереса к получению кредита в момент сделки, следов «кассовых разрывов» (периодически возникающих просрочек по платежу при в целом стабильной оплате счета).

Для того, чтобы иметь оперативный доступ к оценке платежной дисциплине компании-партнера и состоянию ее долговой нагрузки вы можете вести мониторинг контрагентов на Unirate24. В момент наступления события вы узнаете о наступлении просрочки и сможете оперативно взыскать всю или часть дебиторской задолженности по контрагенту.

Также принимаются во внимание индексы должной осмотрительности и платежной дисциплины (их можно найти в бизнес-справке СПАРК).

Порядок проверки контрагентов на предприятии определяет начальник службы безопасности и/или генеральный директор. В зависимости от целей проверки, конкретный набор инструментов и порядок их запроса могут разниться от компании к компании. Начальник СБ составляет приказ и подписывает его у генерального директора. Каждый сотрудник отдела безопасности, допущенный к проверкам контрагентов, ознакамливается с документом. Сотрудник несет ответственность за качество проверки, соответствие ее результатов действительности. Не допускается халатное отношение к проверочным мероприятиям, опущение этапов проверки, умышленное искажение результатов.

Для вашей работы могут быть полезны следующие регламенты (нажмите на ссылку, чтобы открыть и скачать документ):

Заключение службы безопасности по проверке контрагента

При проверке контрагента служба безопасности действует в связке с отделом продаж, финансовым отделом компании. В этом случае ее заключение носит рекомендательный характер и может быть выдано в форме сводной таблицы характеристик контрагента и результирующим заключением. Например, так:

Более 5 заявок на кредитную линию за последний месяц

Может заключение службы безопасности носить и блокирующий характер. Сделки с контрагентами, имеющими признаки фирм-однодневок, опыт неисполнения платежей, обладающими чрезмерной долговой нагрузкой способны нанести значительный ущерб предприятию.

Консолидированный отчет. Балансы, прибыли и убытки, арбитраж, лицензии, структура, индексы должной осмотрительности и финансового риска, ЕГРЮЛ, вестник ЕГРЮЛ.

выписка из егрюл

ОГРН, ИНН, ОКВЭД. Контакты, реквизиты. Уставной капитал. Дочерние компании. Учет в налоговой, регистрация в ПФ, ФСС, ФОМС. Лицензии, свидетельства.

Кредитный отчет контрагента

Проверка исполнения контрагентом кредитных обязательств. Оценка рисков. Определение лимита дебиторской задолженности.

Начните проверку сейчас

Это не займет много времени. Отчет придет уже через 1 секунду.

Служба безопасности при приеме на работу

Проверка службы безопасности при трудоустройстве — это мероприятия по сбору данных о кандидате и контролю их на соответствие требованиям, выдвигаемым работодателем. Такая инспекция осуществляется для обеспечения безопасности и предотвращения ситуаций, способных нанести компании материальный или репутационный ущерб.

• Какой штраф за не вовремя сданный отчет СЗВ-ТД
• Обзор законодательства за период с 11 по 17 октября
• Срок действия справки на коронавирус
• Требования безопасности при работе с ручным электроинструментом
• Из чего состоит зарплата учителя

Что такое служба безопасности и зачем она нужна

Служба безопасности (СБ) — специальное подразделение организации, в обязанности которой входит проверка личностей кандидатов и работников. На уровне государства роль такого подразделения выполняет ФСБ, через которую проходят биографии практически всех муниципальных и государственных служащих, включая обслуживающий персонал.

В своей деятельности при проверках службы безопасности при трудоустройстве сотрудники федеральной и локальных служб руководствуются:

• действующим законодательством;
• внутренними нормативными актами организации, регулирующими их деятельность, — положениями или регламентами о безопасности, положением о коммерческой тайне и т. п.

Но так как в этих подразделениях работают, как правило, бывшие сотрудники правоохранительных органов, обладающие специфическими навыками и стилем общения, то сама процедура — как и что проверяет служба безопасности при приеме на работу — для неподготовленных кандидатов становится настоящим стрессом. Хотя это всего лишь сбор и анализ информации, позволяющий оградить фирму и ее сотрудников от нежелательных людей и ситуаций. Поэтому с каждым годом такие проверки становятся все популярнее (судя по опросам, проведенным порталом hh.ru).

Кого чаще проверяют

Глубина и тщательность проверки соискателя зависит от должности, на которую он претендует. Наиболее досконально служба безопасности при устройстве на работу проверяет претендентов на руководящие должности и на позиции, связанные с доступом к материальным ценностям и конфиденциальной информации. Лиц призывного возраста могут проверить на предмет уклонения от воинской службы.

Что интересует службу безопасности в биографии соискателя, зависит от сферы деятельности организации. Но наиболее тщательную проверку при приеме проходят сотрудники банков, предприятий оборонного комплекса, правоохранительных органов.

Какую информацию собирают и проверяют

Проверка кандидата состоит обычно из трех этапов:

1. Сбор и проверка информации.
2. Собеседование.
3. Анализ и выработка рекомендаций по приему или отказу в трудоустройстве соискателю.

Трудовое законодательство ограничивает перечень документов, которые работодатель вправе запросить при приеме. Поэтому для получения дополнительной информации соискателю предлагают заполнить анкету и подписать согласие на проведение проверки и обработку его персональных данных.

Первым делом служба безопасности в частных организациях и ФСБ при устройстве на госслужбу проверяет подлинность документов, предоставленных кандидатом:

• паспорта;
• трудовой книжки;
• диплома об образовании;
• при необходимости запрашивают справки о:
  • наличии судимостей;
  • привлечении к административной ответственности;
  • психическом здоровье кандидата (сведения из психо- и наркодиспансеров);
• изучают данные о:
  • степени конфликтности соискателя;
  • причинах его увольнения с прошлых мест работы;
  • наличии нелицеприятных фактов его трудовой биографии;
  • финансовом положении кандидата;
  • возможных связях с конкурентами или организациями, которые ведут незаконную деятельность;
• анализируют содержание страниц в социальных сетях.

Собеседование с сотрудниками службы безопасности

Традиционные собеседования с руководством или HR направлены на выяснение профессиональных знаний и навыков кандидата. А что проверяет ФСБ при устройстве на работу и на что обращают внимание сотрудники СБ компаний? Для них важно выявить поведенческие и личностные реакции собеседника, проверить законопослушность и психическое здоровье потенциального сотрудника. Поэтому часто интервью с безопасниками носит стрессовый и провокационный характер, а в некоторых организациях проверки завершаются контролем на полиграфе.

Принятие решения

Не всегда служба безопасности высоко оценивает кандидата и рекомендует отказать ему в трудоустройстве. Но отказ в приеме на работу по обстоятельствам, не связанным с деловыми качествами человека, трудовое законодательство расценивает как дискриминацию. И соискателю никогда не скажут, что служба безопасности отказала в приеме. СБ формально не обладает правом решающего голоса при отборе потенциальных сотрудников, хотя всегда дает руководству свое заключение рекомендательного характера. И работодатели часто к нему прислушиваются.

Чтобы обиженный соискатель не подал в суд, рекомендуем изучить основания, которые законодательство считает дискриминацией, и которые подойдут для мотивированного отказа в приеме на работу.

Основания, по которым допускается отказ в трудоустройстве

Причины, по которым отказывать запрещено

Не предоставлены документы, обязательные для заключения трудового договора (ст. 65, ст. 283 ТК РФ)

Наличие детей или беременность (ст. 64 ТК РФ)

Не пройден медицинский осмотр, если он является обязательным (ст. 69, ст. 213, ст. 266, ст. 324 ТК РФ)

Возраст, национальность, пол, иные признаки (ст. 3 ТК РФ). Исключения в отношении кандидатов определенного возраста перечислены в «профильном» законодательстве

Отсутствие регистрации по месту жительства или пребывания (ст. 64 ТК РФ)

Кандидат — женщина, которая желает трудоустроиться на подземные работы, на работу с вредными условиями труда (ст. 253 ТК РФ)

Кандидат избран по конкурсу (ст. 16 ТК РФ), переведен от другого работодателя (ст. 64 ТК РФ) или назначен на должность (ст. 16 ТК РФ)

Участник организации или ее уполномоченный орган с основного места работы не дал разрешение на трудоустройство на должность руководителя другой компании по совместительству (ст. 276 ТК РФ)

Соискатель с инвалидностью направлен на работу в счет квоты (ст. 16 ТК РФ)

Деловые качества соискателя не соответствуют требованиям, установленным работодателем для кандидата (абз. 5, абз. 6 п. 10 постановления пленума ВС РФ от 17.03.2004 № 2)

В судебном порядке работодателя обязали восстановить сотрудника в должности (ст. 16 ТК РФ)

Иностранный гражданин не предоставил разрешение на работу или патент, у него истек срок действия документов, позволяющих находиться и(или) трудиться в РФ (закон от 25.07.2002 № 115-ФЗ)

В отношении лица действует наказание в виде дисквалификации (ст. 3.11 КоАП РФ)

На момент обращения отсутствуют вакансии

С учетом законодательных норм важно корректно составить мотивированный отказ в приеме на работу, если соискатель запросит его в письменном виде. Направить его заявителю следует в течение 7 рабочих дней со дня получения требования.

Поскольку унифицированной формы для такого документа нет, рекомендуем составлять отказ на бланке организации с указанием традиционной в таких случаях информации и:

• сведений о компании и адресате (используйте предоставленные документы);
• причин отказа;
• данных об уполномоченном лице, которое принимает решения о трудоустройстве.

Образец мотивированного отказа в приеме на работу

Общество с ограниченной ответственностью «Пион»

123456, Санкт-Петербург, улица Правды, дом 1

тел/факс (812)7121212, e-mail: [email protected] , http://www.pion.ru

ОГРН/ОКПО 1234567891011/ 12345678

22.01.2022 г. Санкт-Петербург

Несмеяновой Ольге Владимировне

Уважаемая Ольга Владимировна!

Благодарим Вас за участие в собеседовании на должность главного экономиста ООО «Пион». К сожалению, мы не можем предложить Вам работу по следующим причинам. Согласно должностной инструкции главного экономиста ООО «Пион» № 13, утвержденной 20.11.2019, необходимым требованием для приема на эту должность является наличие у соискателя опыта работы по аналогичной должности не менее 3 лет. В предоставленной Вами копии трудовой книжки нет подтверждения стажа, необходимого для занятия должности главного экономиста ООО «Пион».

Генеральный директор Воронов /Воронов А.В./

Как проводится проверка Роскомнадзора

Больше материалов по теме «Проверки» вы можете получить в системе КонсультантПлюс .

1. Полномочия Роскомнадзора
2. Разновидности проверок
3. Что именно будут проверять
4. Продолжительность проверки
5. Особенности подготовки к проверке
6. Как осуществляется проверка
7. Результаты проверки
8. Можно ли обжаловать результаты проверки?

Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.

Полномочия Роскомнадзора

У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:

1. Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
2. Надзор над предоставлением услуг в области связи.
3. Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
4. Ведение информационной системы, реестров операторов связи.
5. Регистрация СМИ.
6. Защита информации, являющейся государственной тайной.

Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.

Разновидности проверок

Роскомнадзор осуществляет следующие формы проверок:

• Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
• Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
• Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
• Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.

Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

Что именно будут проверять

Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

Роскомнадзор осуществляет контроль над следующими направлениями:

• Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
• Системы, осуществляющие обработку данных (ПК и программы).
• Наличие локальных нормативных актов.
• Исполнение положений этих актов.
• Сайт организации.

Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.

Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:

• Учредительная документация (ИНН, устав и прочее).
• Уведомление о том, что фирма работает с ПД.
• Перечень ПД, сбор которых осуществляется.
• Перечень работников, у которых есть доступ к данным.
• Приказ о допуске таких сотрудников к ПД.
• Инструкции для специалистов, которые работают с данными.
• Положение об ответственности сотрудников за разглашение ПД.
• Документ об обработке ПД.
• Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
• Соглашение о неразглашении ПД.
• Письменное согласие лиц на обработку.
• Журналы инструктажей относительно мер безопасности.
• Журналы учета носителей сведений.

Роскомнадзор также может затребовать и другие документы.

Продолжительность проверки

Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.

Особенности подготовки к проверке

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
2. Проверка соответствия деятельности информации, прописанной в едином реестре.
3. Назначение лица, ответственного за работу с ПД.
4. Составление Политики фирмы в отношении обработки ПД.
5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
6. Проверка правильности хранения документов, ограниченности доступа к ним.
7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Как осуществляется проверка

Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.

Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.

Результаты проверки

В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.

Можно ли обжаловать результаты проверки?

Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.

Проверки Роскомнадзора по защите персональных данных

• Проверки операторов персональных данных в 2022 году
• Виды надзорных мероприятий Роскомнадзора
• Акт проверки
• Итоги

Проверки операторов персональных данных в 2022 году

Постановлением Правительства РФ от 13.02.2019 № 146 были утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Указанным документом регулируются вопросы проведения проверок персональных данных Роскомнадзором в части соблюдения требований к их защите со стороны операторов.

Предметом проведения проверок является выполнение требований закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Конечной целью проверочных мероприятий РКН, в соответствии с п. 3 Правил, выступает выявление и пресечение нарушений в области защиты персональных данных со стороны операторов. Также эта деятельность надзорного органа направлена на предупреждение совершения подобных правонарушений.

В связи с тем, что постановление № 146 принято не так давно, Роскомнадзор при проверках персональных данных в 2019 году был ограничен. Не все предусмотренные Правилами инструменты могли быть использованы ведомством в 2019 году, поскольку планы проведения надзорных мероприятий ведомством еще не был сформированы.

Виды надзорных мероприятий Роскомнадзора

Правила организации и осуществления государственного контроля и надзора предусматривают следующие виды проверок Роскомнадзора по защите персональных данных:

• плановые — раздел II;
• внеплановые — раздел III;
• документарные — раздел VI;
• выездные — раздел VII.

Документарная проверка может проводиться только в ходе плановой (п. 25), выездная же проверка может быть как плановой, так и внеплановой.

В отношении плановых мероприятий Правила в п. 5 указывают, что они проводятся на основании ежегодного сформированного плана, подлежащего размещению в интернете (на официальном сайте РКН и его территориальных органов). Каждый оператор может ознакомиться с ежегодным планом и при обнаружении в нем себя провести подготовку к проверке Роскомнадзора по персональным данным.

Такие проверки, согласно п. 6 Правил, проводятся не чаще 1 раза в 3 года. При этом 3-летний срок отсчитывается либо с даты начала деятельности оператора персональных данных, либо с даты окончания предыдущей проверки.

Внеплановая же проверка осуществляется вне графика по основаниям, указанным в п. 8 Правил. К таковым, в частности, относятся, обращение гражданина, неисполнение оператором ранее выданного предписания и др.

Акт проверки

По результатам проверки орган РКН, в соответствии с п. 42 и абз. 2 п. 44 Правил, составляет акт проверки и вручает его руководителю проверяемого лица или иному уполномоченному представителю. Из раздела VIII Правил следует, что итоговый акт должен содержать, в частности:

• сведения о должностном лице, непосредственно проводившем проверку;
• указание вида проводимой проверки и ее обстоятельства;
• описание выявленных нарушений;
• ссылки на нормы закона или подзаконных актов, которые были нарушены проверяемым лицом.

Если должностное лицо РКН не выявило никаких нарушений, то в заключении акта проверки Роскомнадзора по защите персональных данных делается соответствующая отметка (п. 43 Правил).

Вручение акта осуществляется лично представителю оператора персональных данных. При этом уполномоченный представитель ставит свою подпись об ознакомлении с актом и получении его второго экземпляра. Также акт может направляться почтовым отправлением с уведомлением о вручении.

П. 44 Правил допускает возможность составления акта в форме электронного документа, подписываемого усиленной квалифицированной электронной подписью. Такой документ направляется оператору в течение 10 дней после подписания.

Итоги

• Правила проведения проверок на предмет соблюдения требований по защите персональных данных со стороны операторов утверждены в начале 2019 года.
• После утверждения плана проведения проверок с ним можно будет ознакомиться на официальном сайте Роскомнадзора и, соответственно, подготовиться к проверке.
• Внеплановая проверка может быть осуществлена по заявлению гражданина, поручению президента или правительства либо в связи с невыполнением ранее выданного предписания.

Как будут проверять операторов персональных данных

23 февраля вступили в силу правила проверки операторов персональных данных. Раньше правил вообще не было, только регламент Роскомнадзора. Теперь всем владельцам сайтов, рассылок, магазинов с программами лояльности, форумов и любого бизнеса с наемными работниками станет понятно, как их будут проверять.

В правилах описаны плановые и внеплановые проверки: когда могут прийти, что попросят, сколько времени займут и чем это закончится. За одно нарушение закона о персональных данных можно получить штраф до 75 тысяч рублей. Если нарушений несколько, есть риск потерять сотни тысяч. И это касается всех, у кого есть даже небольшая рассылка или интернет-магазин.

Мы изучили правила, чтобы вам не пришлось читать 17 страниц постановления. Вот как это работает.

Коротко о правилах проверок

Основные изменения для операторов персональных данных:

1. Проверки могут быть плановыми и внеплановыми, документарными и выездными.
2. Плановые проверки проводят раз в два или три года. Срок проверки — 20 дней. Предупреждают за три дня.
3. Внеплановые проверки могут проводить без ограничений после жалобы. Срок сократили в два раза — до 10 рабочих дней. Предупредят за сутки.
4. Документы для документарной проверки нужно приготовить за пять дней. Раньше давали 10.
5. Внеплановая проверка может быть только выездной.
6. Стало больше оснований для продления проверки.
7. Запрос на основании обращений граждан не считается проверкой.
8. Роскомнадзор может следить за работой и публикациями оператора в СМИ и интернете. Теперь итоги такого наблюдения — повод для внеплановой проверки.

Кого это касается?

В постановлении написано, как будут проверять операторов персональных данных. Операторы персональных данных — это люди, предприниматели и компании, которые получают, хранят и обрабатывают информацию о других людях. Например, о своих клиентах и работниках. Для них есть специальный закон. А теперь еще и правила проверок.

Вот примеры, которые попадают под действие этих документов:

1. Владелец сайта просит подписаться на рассылку. Посетители оставляют имя, фамилию и электронную почту.
2. Покупатели заказывают товары в интернет-магазине. Продавец получает от них имена, телефоны и домашние адреса для доставки.
3. Обычный магазин пробивает покупателю чек и отправляет его на номер телефона.
4. Самозанятый сдает квартиру и получает от арендатора адрес электронной почты и номер телефона для обязательной отправки чека из приложения.
5. Инфобизнесмен создает форум о криптовалютах, где люди регистрируются, добавляют свои фото и общаются.
6. Молодая мама создает сообщество для совместных закупок и обмена вещами. Там регистрируются такие же мамы, оставляют свои телефоны, профили в соцсетях и платежные данные.
7. Медицинский центр берет анализы у пациента и оформляет его на прием к врачу.
8. Компания нанимает работников по трудовым договорам, берет их паспортные данные, СНИЛС и домашние адреса.
9. Школа принимает заявления от родителей на прием детей в первый класс.
10. Бизнес-центр просит паспорт посетителя, чтобы оформить ему одноразовый пропуск.

Все эти владельцы сайтов, магазинов, бизнес-центров, форумов, рассылок и обычные работодатели — операторы персональных данных. Они должны соблюдать закон, оформлять документы и, когда положено, — уведомлять Роскомнадзор.

Любого из них могут проверить — по плану или внезапно. И оштрафовать, если найдут нарушения. А может, даже закрыть магазин и заблокировать сайт.

Что такое персональные данные

Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному человеку и позволяет его идентифицировать.

Точного списка таких данных нет, но в методичке Роскомнадзора есть примеры:

1. Фамилия, имя, отчество.
2. Дата и место рождения.
3. Адрес.
4. Семейное и социальное положение.
5. Имущество и доходы.
6. Образование и профессия.
7. Специальные данные: раса, национальность, религия, здоровье, политические взгляды. Эти данные нельзя обрабатывать.
8. Биометрические данные: фотография, образец голоса, отпечатки пальцев.

На что имеют право проверяющие

Чтобы операторы персональных данных не раздавали информацию о своих клиентах всем подряд, надежно ее хранили и удаляли по требованию, Роскомнадзор проводит проверки, находит нарушения, выносит предупреждения и штрафует.

Права представителей Роскомнадзора строго регламентированы, но их немало. Вот что они могут делать во время проверки операторов персональных данных:

1. Запрашивать информацию и документы.
2. Посещать и обследовать помещения, где работает оператор.
3. Выдавать предписания об устранении нарушений.
4. Использовать технику и оборудование для проверки и наблюдения.
5. Получать доступ к программам и базам оператора, просматривать информацию, которая нужна именно для проверки условий хранения данных.
6. Требовать прекращения обработки и удаления данных, если нарушены требования.
7. Составлять протоколы об административном правонарушении.
8. Обращаться в полицию и прокуратуру, если оператор не пускает в помещение и мешает проверке.
9. Запрашивать устные и письменные пояснения в ходе проверки.

Эти права у проверяющих есть не только в ходе выездной проверки, но и при наблюдении за тем, как оператор персональных данных работает, что публикует и как собирает информацию. При этом оператор может об этом даже не знать. Дальше расскажем, что такое наблюдение и чем оно грозит операторам.

Какие обязанности у проверяющих

При проверке операторов персональных данных должностные лица из Роскомнадзора обязаны:

1. Вовремя находить и пресекать нарушения.
2. Проводить проверки только на основании приказа. Всегда требуйте этот документ.
3. Проводить выездную проверку только при исполнении служебных обязанностей.
4. Предъявлять удостоверение и копию приказа.
5. Не мешать руководителю или уполномоченным сотрудникам компании присутствовать при проверке, отвечать на их вопросы.
6. Рассказывать о результатах проверки.
7. Принимать меры с учетом тяжести нарушений.
8. Не ограничивать права и не нарушать интересы оператора без веских оснований.
9. Соблюдать сроки проверки.

Любое нарушение — повод обжаловать результаты проверки, ее продление и даже сам факт проведения. Если что-то идет вразрез с правилами, фиксируйте детали и отправляйте жалобу руководству управления Роскомнадзора.

Плановые проверки — раз в три года

Плановая проверка — это когда Роскомнадзор заранее, на год вперед, составляет план проверок и размещает его в открытом доступе. Кто угодно может проверить, придут к нему в этом году или нет. В плане указана дата проверки, так что можно подготовиться.

Как предупредят. О плановой проверке предупредят за три рабочих дня любым доступным способом: отправят копию приказа по почте, пришлют электронное уведомление или как-то еще.

Когда могут прийти. Раньше было три основания для таких проверок, теперь только эти:

1. Прошло три года с регистрации фирмы или ИП.
2. Последнюю плановую проверку проводили три года назад.

График плановых проверок нужно искать в реестре Генпрокуратуры.

Как часто. Плановые проверки проводят раз в три года. Но теперь могут приходить и каждые два года. Это особые случаи: например, обработка биометрических данных или передача информации за границу.

Сколько длится. Плановые проверки проводят максимум 20 дней. Так было и раньше. Один раз проверку могут продлить.

Внеплановые проверки — на основании жалоб и наблюдений

Внеплановая проверка — это когда визита проверяющих нет в графике и за три дня об этом не сообщают. То есть проверка внезапная, повод может возникнуть в любое время, а причина заранее неизвестна.

Как предупредят. О внеплановой проверке предупредят за сутки.

Когда могут прийти. Для внеплановой проверки все равно нужны основания. Все они перечислены в постановлении правительства, но список теперь новый — не такой, как был в регламенте.

Вот эти основания:

1. Оператору выдали предписание для устранения нарушений, а он его игнорирует.
2. Кто-то из людей пожаловался и приложил доказательства, что оператор нарушает их права.
3. Есть поручение президента или правительства.
4. Потребовал прокурор.
5. Руководителю принесли докладную записку по итогам наблюдения за оператором: мол, тут товарищи нарушают, надо бы их проверить. И глава управления Роскомнадзора согласился и решил: проверяйте. Раньше такой причины для проверок не было.

Последний пункт самый интересный. Смотрите: за вашим сайтом и бизнесом могут просто тихонько наблюдать. Вам при этом ничего не присылают, ничего не запрашивают. Читают ваши пользовательские соглашения, проверяют галочки на формах подписки — эта процедура называется наблюдением, она предусмотрена правилами. И если есть подозрения, что вы что-то нарушаете: не спрашиваете согласия, плохо защищаете данные или не предупреждаете об их сборе, — докладная на стол и встречайте внеплановую проверку. По правилам должны согласовать эту проверку с прокуратурой, но для вас будет сюрприз.

Как часто. У внеплановых проверок нет периодичности. К нарушителям могут приходить хоть каждый месяц.

Сколько длится. Внеплановая проверка длится максимум 10 рабочих дней. Срок сократили в два раза, но один раз могут продлить.

Внеплановые проверки могут быть только выездными

Раньше внеплановая проверка могла быть документарной. Это когда просят документы. Больше документарных внеплановых проверок не будет. Значит, если вынесут решение о выездной проверке, нужно ждать гостей с удостоверениями: придут по месту регистрации или фактической работы.

Документы для проверки нужно приготовить за пять дней

Если проверка документарная, бумаги должны быть готовы в течение пяти рабочих дней. То есть и этот срок сократили в два раза. С оригиналов документов нужно сделать заверенные печатью и подписью копии и передать в Роскомнадзор. Можно отправить через интернет с усиленной подписью. Дата представления документов — это не дата отправки, а дата штампа о приемке Роскомнадзором.

Если в документах найдутся противоречия, Роскомнадзор запросит пояснения. Их придется представить в течение трех рабочих дней. Раньше для уточнения давали 10 дней.

Запрос из-за обращений граждан — это не проверка

Любой человек, которому кажется, что его данные неправильно обрабатывают, передают кому-то без разрешения или не удаляют по требованию, может написать обращение в Роскомнадзор. Каждое такое обращение обязаны рассмотреть и дать на него ответ.

Для ответа Роскомнадзору могут понадобиться пояснения интернет-магазина, банка, автора рассылки или службы доставки. Тогда им пришлют запрос: тут к вам претензии, поясните ситуацию. Этот запрос не считается документарной проверкой. Для него не нужен приказ и график на год вперед.

Как проводят выездную проверку

Выездную проверку проводят по месту работы или регистрации бизнеса. Если оператор персональных данных — физлицо без регистрации ИП, выездной проверки у него быть не может.

Когда начинается выездная проверка, представитель Роскомнадзора показывает удостоверение и приказ с информацией о сроках, основаниях и целях проверки. Еще до того как начнут проверять, оператору вручат запрос о представлении документов. Раньше такого не было. На подготовку документов дадут минимум два дня.

Во время проверки нужно предоставить проверяющим доступ в помещения и к компьютерам. Если мешать проверке, составят акт и пригласят полицию.

Если проверка придет и никого не застанет по указанному адресу, сроки приостановят. Если и потом никто не объявится, с внеплановой проверкой смогут прийти в любое другое время вообще без предупреждения.

Когда проверку могут продлить

Для каждой проверки есть сроки ее проведения. Проверяющие не могут дольше изучать документы, осматривать компьютеры и опрашивать сотрудников. Но есть причины продлить проверку. Раньше была только одна и в исключительном случае: когда объем работы очень большой. Теперь причин для продления больше:

1. В процессе проверки поступила информация о нарушении обработки персональных данных.
2. Случился форс-мажор на месте проверки: офис затопило или что-то загорелось.
3. Оператор персданных не представляет документы, которые у него просят.
4. Выяснилось, что предстоит много работы: сложные процессы, большой объем документов, несколько видов деятельности.

Проверку могут продлить только на основании приказа. С ним обязательно знакомят оператора в течение трех дней после того, как приняли решение увеличить срок.

Как оформляют результаты проверки

Когда проверка закончится, составят акт в двух экземплярах. В нем напишут, что нарушений нет или что их нашли. Представитель оператора должен подписать акт. Если отказаться, от штрафов это не спасет: в акте сделают пометку об отказе и пришлют его по почте.

Если не согласны с актом, пишите возражения и обжалуйте результаты проверки.

Если находят нарушения

Если оператор персональных данных что-то нарушил, ему выдадут предписание: устраните нарушения в такой-то срок. Максимальное время для устранения — 6 месяцев. Но конкретному оператору могут дать и меньше. Раньше этот период регламент не ограничивал.

Когда нарушение устранят, об этом нужно сообщить в Роскомнадзор. Если предписание не исполнено или не все нарушения устранили, может прийти внеплановая выездная проверка. А если в результате нарушаются права тех, чьи данные обрабатывают, Роскомнадзор может вообще запретить обработку, пока все не исправят. Для бизнеса это может означать приостановление деятельности.

За нарушения при обработке персональных данных могут вынести предупреждение, а могут оштрафовать: юрлицо — отдельно, директора — дополнительно.

Что такое контроль без взаимодействия с оператором

Чтобы находить нарушения, Роскомнадзор проводит специальные мероприятия, в которых сами операторы никак не задействованы и о которых они вообще не знают. Это наблюдение двух видов:

1. Как соблюдаются требования при размещении информации в СМИ и интернете.
2. Какие данные и документы оператор представляет в Роскомнадзор.

Это не проверка, а просто наблюдение, о котором вы даже не подозреваете. Но его результаты могут стать основанием для внеплановой проверки.

Для наблюдения должно быть задание. А для задания нужны причины:

1. поручение президента, правительства или руководителя Роскомнадзора;
2. обращения госорганов, компаний, предпринимателей, обычных людей;
3. публикации в СМИ и интернете о нарушении прав при обработке персданных.

Если по итогам наблюдения найдутся нарушения или покажется, что они есть, проверяющий пишет докладную записку. Ее рассмотрит руководитель отделения Роскомнадзора и может назначить проверку. А может без проверки попросить устранить нарушения, заблокировать или уничтожить данные. Если не выполнить это требование, составят протокол и оштрафуют: фирму — на сумму до 45 тысяч рублей, ИП — на сумму до 20 тысяч.

Я самозанятый и работаю с физлицами. Мне что, тоже регистрироваться в Роскомнадзоре и получать согласие на обработку данных?

Быть оператором персональных данных — это не значит обязательно регистрироваться в реестре и всегда запрашивать согласие. Если вы получаете и храните чьи-то данные, вы уже оператор. ИП и юрлиц могут проверить планово и внезапно, вам нужно оформлять документы и соблюдать закон.

При этом не все операторы должны регистрироваться в реестре Роскомнадзора. И не всегда нужно получать согласие: по закону обрабатывать данные можно и без согласия.

Например, если вы запрашиваете электронную почту для отправки чека, согласие не нужно. Если просите адрес для доставки пиццы, согласие тоже не нужно. Так же и с уведомлением Роскомнадзора: если арендатор квартиры или покупатель торта передал вам данные для договора или доставки, это не повод регистрироваться в реестре. Но при этом вы оператор персональных данных и должны соблюдать остальные требования закона. Вас могут проверять, штрафовать и блокировать.

Операторов обработки персональных данных начнут проверять по новым правилам

Как теперь будут проводиться проверки юрлиц и индивидуальных предпринимателей и как к ним подготовиться?

13 февраля 2019 г. Правительством РФ были приняты 1 Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных (далее – Правила). Они вступили в силу 23 февраля и обязательны к применению Роскомнадзором, который и должен контролировать обработку таких данных.

Если вы собираете, храните и используете персональные данные, то мы рекомендуем вам ознакомиться с нововведениями в процедуре проведения плановых и внеплановых проверок, внесенными новыми Правилами.

Кто считается оператором обработки персональных данных и кого будут проверять?

Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных). Проверки операторов осуществляются согласно п. 1 Правил и ч. 1.1 ст. 23 Закона о персональных данных 2 .

В то же время из п. 6 Правил следует, что плановые проверки проводятся в отношении юридических лиц и индивидуальных предпринимателей. В отношении иных лиц, судя по всему, будут проводиться только внеплановые проверки.

Стоит учитывать, что на порядок осуществления таких проверок не распространяются положения Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» 3 (п. 20 ч. 3.1 ст. 1 этого закона). Это означает, что правительство вправе устанавливать иной порядок организации и проведения проверок, чем тот, который определен данным законом. Принятые Правила на данный момент в целом соответствуют Закону о проверках, но в последующем они могут быть изменены. Оператору при этом необходимо будет руководствоваться именно положениями Правил, а не нормами Закона о проверках.

По каким правилам раньше проводились проверки?

Ранее проверки и иные подобные мероприятия проводились на основании Административного регламента Роскомнадзора (далее – Регламент).

Он не был изменен и не утратил силу на момент подготовки данного материала. Однако применяться Регламент будет лишь в той части, которая не противоречит Правилам, поскольку они утверждены нормативным актом более высокого уровня. Можно ожидать, что Регламент будет приведен в соответствие с Правилами в ближайшее время.

Как часто будут осуществляться проверки?

Пунктом 33 Регламента установлено, что плановые проверки проводятся один раз в три года. Данный срок указан и в п. 6 Правил.

Кроме того, определено специальное правило в отношении операторов:

• обрабатывающих персональные данные в государственных информационных системах;
• осуществляющих сбор биометрических или специальных категорий персональных данных;
• осуществляющих трансграничную передачу персональных данных на территорию, на которой не обеспечивается адекватная защита прав субъектов;
• осуществляющих обработку персональных данных по поручению иностранного лица или органа власти, которые не зарегистрированы в России.

Плановые проверки таких операторов будут проводиться один раз в два года.

Как узнать, когда будет проводиться проверка?

Сведения о проведении плановых проверок должны быть включены в ежегодный план, размещаемый Роскомнадзором на своем официальном сайте. Кроме того, о плановой проверке ведомство должно уведомить оператора не позднее чем за три рабочих дня до начала ее проведения. Сообщается об этом заказным письмом или по электронной почте, если ее адрес размещен на сайте оператора.

О проведении внеплановой проверки Роскомнадзор обязан уведомить оператора любым способом не позднее чем за 24 часа до начала ее проведения.

Как долго проверка будет длиться?

Пунктом 20 Регламента было установлено, что срок проведения плановых и внеплановых проверок не может превышать 20 рабочих дней и может быть продлен не более чем на 20 рабочих дней. Для субъектов малого предпринимательства были определены иные сроки проведения проверок: не более 50 часов для малого предприятия и не более 15 часов для микропредприятия.

В новых Правилах сократили срок проведения внеплановых проверок. Теперь он составляет не более 10 рабочих дней и может быть продлен в исключительных случаях не более чем на 10 рабочих дней (п. 17 Правил). При этом в Правилах отсутствует указание на другие сроки проведения проверок для субъектов малого предпринимательства.

Также установлено правило исчисления сроков проведения проверок операторов, действующих на территории нескольких субъектов РФ. Они исчисляются в отношении каждого филиала, однако совокупный срок проверки не может превышать более 60 рабочих дней (п. 18 Правил).

В каких случаях возможны внеплановые проверки?

Регламентом предусмотрены следующие основания для проведения внеплановых проверок:

• неисполнение оператором выданного Роскомнадзором предписания об устранении нарушений;
• поступление в Роскомнадзор информации о причинении вреда жизни и здоровью граждан или возникновении угрозы причинения такого вреда вследствие ненадлежащего исполнения оператором своих обязанностей;
• приказ руководителя Роскомнадзора или его территориального подразделения, изданный в соответствии с поручением президента, правительства или прокуратуры.

В п. 8 Правил основания для проведения внеплановых проверок несколько изменены:

• они могут быть назначены после поступления в Роскомнадзор любых сведений о нарушении прав субъектов персональных данных, предусмотренных гл. 3 Закона о персональных данных. Например, если такой субъект сообщил об утечке информации;
• поручения президента и правительства, а также требования прокурора являются теперь самостоятельным основанием для проведения внеплановых проверок;
• они также могут быть назначены по решению руководителя Роскомнадзора на основании проведенных сотрудниками этого ведомства мероприятий по контролю без взаимодействия с операторами (о них далее).

Как будет проходить проверка?

Проверки могут проходить в двух формах – документарной (когда Роскомнадзор проверяет предоставленные оператором документы без личной явки к нему) и выездной (когда проверка осуществляется сотрудниками Роскомнадзора по месту нахождения оператора).

Документарными могут быть только плановые проверки (п. 25 Правил). В этом случае Роскомнадзор запрашивает у оператора интересующие документы, которые он обязан представить в течение пяти рабочих дней со дня получения запроса. Непредставление сведений является основанием для привлечения к административной ответственности (ст. 19.7 КоАП РФ).

Если в документах будут выявлены ошибки или неточности, Роскомнадзор направит дополнительный запрос. Ответ на него оператор должен дать в течение трех рабочих дней. В противном случае Роскомнадзор вправе назначить выездную проверку. Она осуществляется по месту нахождения оператора и не может проводиться в отношении физических лиц, не являющихся индивидуальными предпринимателями (п. 32 Правил).

Оператор обязан обеспечить сотрудникам Роскомнадзора все условия для проведения проверки, в том числе представить запрошенные ими документы. По итогам составляется акт проверки (п. 42 Правил). В случае выявления нарушений оператору выдается предписание об их устранении. Также он может быть привлечен к административной ответственности.

Возможна проверка без взаимодействия с оператором?

Правилами регламентирована новая форма осуществления контроля – это мероприятия, которые проводятся без взаимодействия с операторами. В их рамках осуществляются:

• проверка информации, размещенной оператором в интернете и СМИ, – например, сведений о политике обработки персональных данных;
• анализ информации, предоставленной оператором или полученной Роскомнадзором от органов государственной власти в рамках межведомственного взаимодействия, – например, сведений, указанных оператором в уведомлении об обработке персональных данных.

Основаниями для проведения данных мероприятий являются поручения президента, правительства или руководителя Роскомнадзора, а также поступление в Роскомнадзор информации от физических или юридических лиц, из интернета или СМИ о нарушении прав субъектов персональных данных или обязательных требований. Например, причиной такой проверки могут стать размещенные в СМИ сведения о допущенной оператором утечке персональных данных.

Как подготовиться к проверке?

Следует учитывать, что Роскомнадзор в первую очередь обращает внимание на следующие моменты:

• было ли подано в Роскомнадзор уведомление об обработке персональных данных, которое требуется для включения в реестр операторов (ст. 22 Закона о персональных данных). Необходимо представить сведения о его направлении или сослаться на одно из оснований, позволяющих обрабатывать данные без уведомления Роскомнадзора. Перечень таких оснований предусмотрен ч. 2 ст. 22 Закона о персональных данных;
• если уведомление было подано – соответствует ли реальное положение дел данным, указанным в нем;
• соблюдены ли требования к неавтоматизированной обработке персональных данных: кто из сотрудников работает с ними, как хранятся документы;
• соблюдены ли требования к автоматизированной обработке данных (за исключением требований, связанных с безопасностью);
• утверждена ли политика обработки персональных данных. Если данные собираются через сайт компании – размещены ли сведения об этой политике на сайте;
• данные каких субъектов обрабатываются и на каком основании. Допустимые основания перечислены в ч. 1 ст. 6 Закона о персональных данных;
• если обработка осуществляется на основании согласия субъекта персональных данных – соблюдены ли требования закона к такому согласию (ст. 9 Закона о персональных данных);
• передаются ли персональные данные третьим лицам. Если да, соблюдаются ли требования закона, касающиеся передачи: наличие согласия субъекта; соответствующие условия в договоре с третьими лицами; требования, касающиеся трансграничной передачи данных;
• обрабатываются ли специальные категории персональных данных и биометрические данные. Соблюдены ли условия для такой обработки;
• соблюдаются ли требования о локализации персональных данных (ч. 5 ст. 18 Закона о персональных данных).

Если осуществляется внеплановая проверка в связи с поступлением в Роскомнадзор сведений о нарушениях прав субъектов персональных данных или если ведомство выявило такие нарушения в ходе проведения дистанционного контроля – рекомендуется заранее предоставить пояснения по выявленным нарушениям.

Следует учитывать, что утвержденные Правила не распространяются на контроль и надзор за обеспечением безопасности обработки персональных данных, которая осуществляется в информационных системах, установленных в соответствии со ст. 19 Закона о персональных данных. Контролируют выполнение этих требований закона ФСБ и ФСТЭК.

Что будет, если проверяющие выявят нарушения?

В этом случае оператору направляется требование об устранении нарушений, которое должно быть исполнено в течение 10 дней. Также может быть назначена внеплановая проверка.

Невыполнение предписания уполномоченного органа является основанием для привлечения к административной ответственности (ч. 1 ст. 19.5 КоАП РФ) и наложения штрафа в размере до 500 руб. на граждан, до 2 тыс. руб. – на должностных лиц, до 20 тыс. руб. – на организации. Должностное лицо может быть также дисквалифицировано на срок до трех лет.

Кроме того, оператор может быть привлечен к административной ответственности (ст. 13.11 КоАП РФ), если в его действиях будут выявлены признаки правонарушения в сфере персональных данных. Например, если станет известно, что оператор не опубликовал сведения о политике обработки персональных данных, то он может быть привлечен к ответственности по ч. 3 ст. 13.11 КоАП РФ.

Что делать оператору, если он не согласен с результатами проверки?

Оператор может обжаловать действия проверяющих и их решения. Жалоба направляется руководителю территориального подразделения Роскомнадзора или руководителю ведомства, если нарушения допущены сотрудниками центрального подразделения. Жалоба может быть устной или письменной, в том числе в форме электронного документа, и должна быть рассмотрена должностным лицом в течение 30 дней со дня ее регистрации.

Акт проверки, составленный сотрудниками Роскомнадзора, может быть оспорен в досудебном порядке, описанном выше, либо в судебном порядке.

Привлечение оператора к административной ответственности может быть обжаловано в порядке, предусмотренном КоАП РФ.

1 Постановление Правительства РФ от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».

2 Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

3 Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».