Разъяснения Роскомнадзора по порядку защиты персональных данных

Опубликовано

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Разъяснения Роскомнадзора по порядку защиты персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Что делать перед документальной проверкой
2. Проверки Роскомнадзора: что нужно знать
3. Государственный контроль
4. Что изменилось для работодателей
5. Штрафы за неуведомление Роскомнадзора
6. Роскомнадзор: что проверяет и на что обращает внимание
7. Проверочные листы Роскомнадзора
8. Уведомление оператора персональных данных
9. Что работодатель должен и не должен знать о работнике
10. Цель инспекции Роскомнадзора, что проверяется
11. Особенности подготовки к проверке

Сейчас такой срок будет составлять 6 месяцев со дня выдачи предписания об устранении нарушения. Проверяемый обязан будет уложиться в этот срок. В противном случае, ему грозит административная ответственность за невыполнение в срок законного предписания, предусмотренная ст. 19.5 Кодекса об административных нарушениях РФ.
Кроме того, Роскомнадзор теперь может потребовать от оператора приостановить обработку персональных данных, в том случае, если не будет выполнено предписание по устранению нарушений.

Что делать перед документальной проверкой

Расскажем на примере проверки Роскомнадзора.

В организацию приходит письмо от местного управления Роскомнадзора с запросом документов, как правило, из числа перечисленных выше.

В письме указывается срок, к которому они должны оказаться у регулятора. По закону на подготовку и отправку этих бумаг дается не менее трех дней, в реальности обычно предупреждают за неделю или две. Поэтому, если вы уже подготовили набор документов, то у вас останется время, чтобы все перепроверить. А вот успеть с нуля — тот еще челлендж, порой заведомо невыполнимый.

Регулятору передаются копии документов в первозданном виде без изъятий и цензуры. Их необходимо заверить печатью организации и подписью руководителя или его представителя. Электронные копии подписываются квалифицированной электронной подписью.

Роскомнадзор рассматривает полученные материалы, и при необходимости запрашивает пояснения, также в письменном виде, на бумаге или в электронной форме. Если пояснения не предоставлены за три для или недостаточно убедительны, назначается выездная проверка.

Минус документальной проверки в том, что вся коммуникация происходит на бумаге, и порой возникают ситуации, когда регулятор чего-то не находит в пакете документов или не учитывает какие-то детали даже после прочтения пояснений. В процессе выездной проверки с инспекторами проще найти общий язык.

Проверки Роскомнадзора: что нужно знать

В первую очередь нужно изучить, какими документами регламентируются проверки. Список таких документов представлен ниже.

  • Постановление Правительства РФ от 16.03.2009 № 228. Здесь указана структура Роскомнадзора и его законные полномочия.
  • Постановление Правительства РФ от 29.06.2021 № 1046. Описывает порядок и правила поведения инспекционных проверок Роскомнадзором. Здесь же расписаны права и обязанности инспекторов контролирующего органа, а также операторов персональных данных. Указаны типы проверок, группы риска.
  • Приказ Минкомсвязи РФ от 14.11.2011 № 312. Это документ пригодится, если появилось желание оспорить результаты состоявшейся проверки Роскомнадзора.

Государственный контроль

С того момента, как компания приступает к обработке ПД и уведомляет об этом в Роскомнадзор, она попадает в сферу интересов государственных ведомств, призванных контролировать соблюдение законодательства. Защита персональных данных – в национальном законодательстве, сформировалась как направление защиты прав на сохранность информации о личной жизни.

В рамках этой концепции оператор персональных данных – юридическое лицо или индивидуальный предприниматель, который начал обрабатывать личную информацию лиц, не являющихся его сотрудниками, например, клиентов банков, абонентов мобильной связи, покупателей в интернет-магазинах.

На него возлагается ответственность за:

  • сохранность данных, исключение их утечки или разглашения;
  • соответствие правил работы с ПДн заявленным целям этой процедуры.

Оператор отвечает за действия сотрудников и третьих лиц, которым он передает данные для обработки.

Нормы ответственности в общем виде изложены в ст. 90 ТК РФ. Они разделяются на:

  • дисциплинарную. На сотрудника, допустившего утечку или иное неосторожное обращение с персональными данными, например, уничтожение, могут быть наложены взыскание, замечание или выговор. В ряде случаев разглашение ПД становится поводом для увольнения;
  • гражданско-правовую. Если действиями организации или сотрудника правообладателю был причинен ущерб, его компенсация будет возложена на виновника;
  • административную. Привлечение к ответственности в рамках норм АПК РФ происходит по результатам проверок. Помимо штрафа, мерой ответственностью иногда является приостановление деятельности, связанной с использованием ПД;
  • уголовную. УК РФ предусматривает ответственность за намеренное разглашение ПД, связанное с причинением существенного ущерба.
Читайте также:  Больничный по беременности и родам в 2023 году

Административная ответственность предусмотрена ст. 13.11 КоАП РФ. На оператора персональных данных могут быть наложены штрафы за правонарушения в области работы с данными:

  • за работу с персональными данными в целях, не предусмотренных законом, или в противоречии с ранее заявленными целями;
  • за работу с данными без получения согласия правообладателя;
  • за отказ от разработки или публикации в открытом доступе политики по работе с данными;
  • за непредоставление правообладателю информации, касающейся судьбы его данных;
  • за отказ от уточнения, блокировки или уничтожения данных по требованию субъектов;
  • за невыполнение требований ФСТЭК РФ, касающихся использования сертифицированного программного обеспечения для защиты информации;
  • за отказ от хранения персональных данных на серверах, находящихся на территории РФ.

Что изменилось для работодателей

О начале обработки персональных данных сообщают все операторы — государственные или муниципальные органы, юридический или физические лица, которые собирают и обрабатывают персданные. Все они числятся в специальном открытом реестре операторов на сайте Роскомнадзора.

С 1 сентября 2022 из закона «О персональных данных» исключили шесть случаев, когда компании могли не уведомлять Роскомнадзор о скорой обработке данных (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ), и норма стала строже. Теперь большему числу работодателей нужно отчитаться перед ведомством. Это касается компаний, которые обрабатывают персданные сотрудников, подрядчиков на договорах ГПХ, клиентов компании, посетителей и других лиц, которые сообщают свои фамилию, имя и отчество.

От подачи уведомления компания освобождается только в таких ситуациях:

  • если персональные данные включены в государственные защищенные информсистемы;

  • если оператор собирает персональные данные строго без средств автоматизации: например, записывает в тетрадь от руки (бухгалтерская программа или таблицы Excel на компьютере — это уже средства автоматизации);

  • если данные обрабатывают в целях устойчивой и безопасной работы транспорта, защиты интересов личности, общества и государства в сфере транспорта согласно законам РФ.

Штрафы за неуведомление Роскомнадзора

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

К наиболее часто встречающимся недочетам, которые обнаруживаются при проверке оператора, можно отнести:

— отсутствие любых средств защиты информации;

— недостаточный уровень знаний специалистов, отвечающих за информационную безопасность;

— отсутствие сертификатов на используемые средства защиты или завершение их срока действия сертификат;

— некорректное использование средств защиты информации, неправильную их настройку или не использование, несмотря на их наличие;

— отсутствие аттестации у государственной информационной системы;

— некорректно составленную модель угроз и нарушителей;

— отсутствие нормативной документации и формуляров;

— игнорирование факта проведения запланированных мероприятий по защите информации;

— низкий уровень физической защиты технических средств.

Роскомнадзор: что проверяет и на что обращает внимание

Мероприятия по охране труда: план на предприятии

В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.

Читайте также:  Что делать, если сосед постоянно сверлит. Инструкция

При плановой ревизии важно:

  • какие именно данные обрабатывает компания;
  • кто отвечает за обработку;
  • где можно ознакомиться с политикой компании (в том числе на сайте);
  • кому передаются данные;
  • как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
  • как хранятся документы, и как контролируется доступ в этих помещениях;
  • насколько всё перечисленное соответствует заявленному в документах.

Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.

Проверочные листы Роскомнадзора

В целях уменьшения рисков нарушений Роскомнадзор может направлять предприятиям проверочные листы с вопросами, ответы на которые могут свидетельствовать о несоблюдении требований законодательства о персональных данных (ст. 53 Закона № 248-ФЗ. На практике такие листы могут использоваться непосредственно при проверках и, соответственно, предварительное ознакомление с перечнем вопросов, приведенных там, поможет предприятию лучше подготовиться к проверке, как и устранить нарушения. Действующая форма проверочного листа по проверкам Роскомнадзора утверждена приказом ведомства от 24.12.2021 № 253.

Положением № 1046 определена особая категория мероприятий с участием Роскомнадзора и хозяйствующих субъектов — мероприятия без взаимодействия ведомства с контролируемыми лицами. На такие мероприятия не распространяется действие Закона № 248-ФЗ (п. 6 Положения). Представлены они могут быть (п. 59 Положения):

  • наблюдением за соблюдением требований при публикации сведений в интернете;
  • наблюдением за соблюдением требований с помощью анализа данных о деятельности контролируемого лица, имеющихся в распоряжении Роскомнадзора.

Уведомление оператора персональных данных

Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:

  • уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
  • уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
  • персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

Что работодатель должен и не должен знать о работнике

В Трудовом кодексе РФ нет конкретного перечня сведений, относящихся к персональным данным работника. Равно как и нет его и в Законе «О персональных данных». В этом документе есть только их Определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Соответственно, в законодательстве отсутствует список сведений, которые работодатель вправе собирать и хранить в отношении каждого работника.

Вместе с тем в ст. 65 ТК РФ приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу. По этим документам можно понять, какие сведения о работниках компания получает, и соответственно, имеет право обрабатывать, а каких сведений в ее распоряжении оказаться не должно.

Что у компании должно быть

Итак, при приеме на работу работодатель получает персональные данные работника, а именно:

  • Ф.И.О., возраст, место жительства, семейное положение (из паспорта);
  • трудовой стаж и предыдущие места работы (из трудовой книжки);
  • регистрация в органах ПФР (из карточки СНИЛС);
  • отношение работника к воинскому учету (из документов воинского учета);
  • образование и квалификация (из дипломов, аттестатов, свидетельств об образовании);
  • судимость (из справки о ее наличии или отсутствии);
  • употребление наркотиков (из справки, подтверждающей или опровергающей этот факт).
Читайте также:  Звание "Мать-героиня" 2022: кто получит, выплаты, другие награды

Цель инспекции Роскомнадзора, что проверяется

Любое предприятие, набирающее в штат наёмных работников, не может официально их трудоустроить, не проведя, при этом, процедуру идентификации. В связи с этим, множество организаций проходит проверку Роскомнадзором персональных данных (далее – ПД), получаемых не только от работников, но и от клиентов.

Инспектируемый объём сведений отличается в зависимости от вида инспекции. Контролирующий орган вправе запросить нужные документы и изучить их удалённо, а может нанести визит работодателю и таким образом расширить круг проверки.

Понятие персональных данных охватывает объём информации, касающейся идентификации каждого человека. Таковой являются паспортные данные, адрес проживания, грамотно заполненная трудовая книжка, опыт работы и так далее.

ФЗ «О персональных данных» обязан соблюдать любой работодатель. Это является одной из основных целей поверки Роскомнадзора. Поскольку инспекция занимается защитой информации, другой направленностью является техническая проверка компьютерных систем предприятия.

При наличии веб-сайта, на котором требуется вводить персональные данные, важно оповещать посетителей о цели сбора предприятием таких сведений. Кроме этого, важно получить электронное согласие клиента на обработку его данных.

Вне зависимости от того, предупреждён работодатель о предстоящей инспекции, или нет, следует знать, что проверяет проверка Роскомнадзора по защите персональных данных. Для того, чтобы снизить вероятность штрафных санкций для своего предприятия, нужно привести в порядок ряд важных документов. Единого перечня проверяемой документации не существует, поэтому целесообразно выделить наиболее важные из них, которые чаще всего запрашиваются.

Особенности подготовки к проверке

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

  1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
  2. Проверка соответствия деятельности информации, прописанной в едином реестре.
  3. Назначение лица, ответственного за работу с ПД.
  4. Составление Политики фирмы в отношении обработки ПД.
  5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
  6. Проверка правильности хранения документов, ограниченности доступа к ним.
  7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

В отдельных случаях Роскомнадзор проводит незапланированное инспектирование на основании приказа, подписанного уполномоченным должностным лицом. Правила, утвержденные ПП N 146 содержат полный перечень оснований для инициирования внеплановой проверки Роскомнадзора:

  • выявления неисполненного или исполненного не полностью предписания, выданного по итогам планового инспектирования;
  • нарушения прав граждан, перечисленных ст. 14-17 152-ФЗ, выявленные в результате анализа заявлений пострадавших, поступивших в орган по контролю и надзору;
  • поручение органов власти, Президента;
  • требование прокурора;
  • резолюция руководства Роскомнадзора на основании изучения выводов о наличии нарушений после проведенных проверок без взаимодействия с оператором.
Важно!

Уведомление Роскомнадзора о начале внеплановой проверки обработки персональных данных вручается оператору не позднее, чем за 24 часа до ее начала. В качестве уведомления направляется копия приказа любым доступным способом. В приказе указываются должностные лица, которые уполномочены проводить инспектирование. Внеплановые проверки только выездные.


Похожие записи:

Добавить комментарий