Постановлением Правительства №146 от 13.02.2024 года утвержден порядок проведения Роскомнадзором проверок по защите персональных данных. Роскомнадзор проверяет организации, предпринимателей, физлиц, которые осуществляют сбор, обработку и хранение персональных данных сотрудников, клиентов, третьих лиц. В статье разберем, что проверяет Роскомнадзор при плановой проверке, а также выясним, на что необходимо обратить внимание организации перед плановым визитом инспекторов.
Кого проверяет Роскомнадзор
В соответствие с Положением о Роскомнадзоре (постановление Правительства №228 от 16.03.2009 года), Служба осуществляет контроль и надзор деятельности операторов персональных данных в части выполнения ними требований действующего законодательства.
Оператор персональных данных (ОПД) – любая организация, ИП, физлицо, федеральных или муниципальный орган власти, который каким-либо образом взаимодействует с личной (персональной) информацией третьих лиц.
В состав персональной информации включаются:
- паспортные данные;
- ИНН;
- место проживания;
- информация о составе семьи;
- данные о фактическом местонахождении;
- банковские реквизиты;
- личная информация из автобиографии.
Таким образом, Роскомнадзор вправе проверить:
- любого работодателя, который консолидирует личную информацию о сотрудниках;
- компанию сферы ИТ, которая занимается обработкой персональных данных пользователя;
- фирму, которая собирает заявки от клиентов путем анкетирования (в том числе через интернет-сайт или электронную почту).
Порядком предусмотрено проведение Роскомнадзором как плановых, так и внеплановых проверок. Плановые проверки осуществляются согласно утвержденному графику. Внеплановые проверки могут проводится на основании жалоб, поступивших в Роскомнадзор в части нарушения ОПД требований действующего законодательства.
Когда Роскомнадзор проводит плановые проверки
Плановым проверкам подлежат все ОПД, которые взаимодействуют с персональной информацией третьих лиц. Периодичность проведения плановых проверок в общем порядке – не более 1-го раза в 3 года.
При этом для определенных категорий ОПД предусмотрены плановые проверки частотой 1 раз в 2 год. Речь идет о:
- государственных операторах информационных систем;
- операторах биометрических данных граждан;
- ОПД, которые передают персональную информацию о третьих лицах за границу.
Для того чтобы узнать, включено ли предприятие в график плановых проверок в 2024 году, достаточно ознакомиться с информацией на сайте Службы https://rkn.gov.ru/plan-and-reports/.
Внеплановые проверки Роскомнадзора
Служба вправе проводить внеплановые проверки ОПД на основании жалоб, поступивших от сотрудников, клиентов, третьих лиц в части нарушения оператором персональных требованиям действующего законодательства. На основании жалобы руководитель органа Роскомнадзора издает распоряжение о проведении внеплановой проверки организации (ИП), копия которого направляется ОПД вместе с уведомлением о предстоящем контрольном мероприятии.
В ходе проверки Роскомнадзор подтверждает либо опровергает факты правонарушений, допущение ОПД в части сбора, хранения, обработки персональных данных и отраженные в жалобе. Выявленные нарушения инспектор Роскомнадзора отражает в акте проверки, после чего выдает ОПД предписании об их устранении в установленный срок.
Что проверяет Роскомнадзор при плановой проверке
Перечень мероприятий, проводимых инспектором Роскомнадзора в ходе проверки, устанавливается индивидуально к каждому предприятию (ИП) и отражается в распоряжении, которое направляется в адрес ОПД перед визитом представителей Службы.
В общем порядке проверке подлежат:
- документы, в которых содержатся персональные данные сотрудников, клиентов, третьих лиц;
- электронные носители (программы ПК, базы данных), на которых хранятся индивидуальные сведения о сотрудниках;
- интернет-сайт, портал, через который осуществляется сбор персональной информации (например, анкетирование, прием заявок).
Согласно Порядку проведения проверок, в ходе контрольных мероприятий Роскомнадзор проверяет ОПД в части выполнения ним законодательства по защите персональных данных. Что конкретно может заинтересовать инспекторов при плановой проверке – в таблице ниже:
№ п/п | Объект плановой проверки Роскомнадзора | Описание |
1 | Наличие уведомления об обработке персональных данных | При постановке на учет предприятие обязано уведомить Роскомнадзор о согласии на обработку персональных данных. Уведомление оформляется на бумажном носителе. В ходе проверки Роскомнадзор проверяет наличие документа с соответствующей отметкой Службы. |
2 | Условия хранения документов на бумажном носителе | Документы, содержащие персональные данные, должны храниться в индивидуальных сейфах. Доступ в помещение должен быть ограничен от посторонних лиц. При проведении плановой проверки Роскомнадзор контролирует выполнение данных требований. |
3 | Безопасность электронных баз данных | Если предприятие хранит (обрабатывает) персональные данные на электронных носителях, то в ходе проверки инспекторы Роскомнадзора контролируют безопасность и конфиденциальность электронных сведений. |
4 | Согласие сотрудников (клиентов, третьих лиц) на передачу личной информации | Сбор, хранение, обработка персональных данных возможна исключительно при наличии согласия собственника таких данных. В ходе инспекции Роскомнадзор проверяет наличие письменных (электронных) подтверждений выполнения данного требования. |
Читайте также статью ⇒ «Что проверяет Ростехнадзор».
Подготовка к плановой проверке Роскомнадзора
Обнаружив свою организацию в графике плановых проверок Роскомнадзора, тщательно подготовьтесь к предстоящему визиту инспекторов Службы. На что стоит обратить особое внимание при подготовке – в инструкции ниже.
Шаг #1. Подготовьте документы
Первое, что потребуют инспекторы Роскомнадзора при проверке – документы, в которых содержатся персональные сведения сотрудников (клиентов, третьих лиц), а также внутренние нормативные акты, которые регламентируют работу с индивидуальными данными. В связи с этим перед визитом инспекторов проверьте наличие и корректность оформления следующих документов:
- учредительные документы предприятия;
- уведомление о работе с персональными данными;
- выписка из реестра ОПД;
- локальный нормативный акт, регламентирующий работу с персональными данными;
- положение о коммерческой тайне, котором указан перечень информации, относящейся к коммерческой тайне, а также ответственность сотрудников за ее разглашение;
- документы о защите персональных данных и информационной безопасности;
- перечень сотрудников, которые имеют доступ к персональной информации других работников (клиентов, третьих лиц), их должностные инструкции;
- документы (анкеты, заявления, уведомления) о согласии работников (клиентов, третьих лиц) на сбор и обработку ОПД персональных данных.
Читайте также статью ⇒ «Как подготовиться к проверке Роспотребнадзора».
Шаг #2. Проведите внутреннюю инспекцию
Перед визитом инспекторов проведите самостоятельную внутреннюю ревизию предприятия, а именно:
- проверьте условия хранения документов с персональными данными (наличие сейфов, изолированных помещений с ограниченным доступом);
- проконтролируйте соблюдение установленных требований сотрудниками, которые, согласно должностным инструкциям, работают с персональными данными;
- с помощью ответственного сотрудника ИТ-службы проанализируйте безопасность хранения персональных данных в электронных базах, а также корректность их сбора на сайте либо через электронную почту.
Уделите внимание прочим аспектам работы с персональной информацией, имеющим место в Вашей компании. К примеру, если фирма анкетирует клиентов через интернет-сайт, то на портале должно содержаться уведомление о согласии клиентов на обработку полученных данных.
Шаг #3. Подготовьте сотрудников
Регламент проведения плановых проверок позволяет инспекторам Роскомнадзора проводить беседы с сотрудниками (как ответственными, так и рядовыми) и задавать им вопросы, касающиеся соблюдения предприятием требований законодательства в части защиты персональных данных.
На практике инспектор может задать сотруднику провокационный вопрос, ответ на которых предполагает разглашение коммерческой тайны либо персональной информации третьих лиц. Для того чтобы подобные беседы не привели к нарушениям и взысканиям, подготовьте сотрудников к визиту Роскомнадзора, а именно:
- ознакомьте сотрудников со всеми документами, необходимыми при работе с персональными данными;
- предложите работникам тактику «глухой защиты» — отказ от каких-либо ответов и комментариев без присутствия непосредственного руководителя;
- сообщите сотрудникам об их праве не отвечать на устные вопросы инспекторов и требовать запросы исключительно в письменном виде.
В ходе проверки и при переговорах с инспектора не паникуйте, сохраняйте спокойствие и будьте уверены в своей правоте. Кроме того, помните о своем праве оспорить результаты проверки в течение 30 дней с момента составления заключительного акта инспекции.
Читайте также статью ⇒ «Как оспорить предписание Ростехнадзора».