В феврале 2024 года Федеральная служба по надзору в сфере связи, ИТ и массовых коммуникаций (далее – Роскомнадзору) утвердила порядок, в соответствие с которым будут проводиться проверки операторов персональных данных. В статье разберем, как осуществляется проверка Роскомнадзора по защите персональных данных, а также выясним, как организации подготовится к визиту инспекторов.
Кого проверяет Роскомнадзор
Функциональные полномочия и регламент деятельность Роскомнадзора регламентированы Положением «О федеральной службе по надзору в сфере связи, ИТ и массовых коммуникаций», утвержденным Правительством РФ №228 от 16.03.2009 года.
В соответствие с документом, функциями Роскомнадзора является контроль за обработкой персональных данных требованиям действующего законодательства. Субъектом контроля Роскомнадзора выступает операторы персональных данных (ОПД) – организации, ИП, физлица, госорганы, которые:
- осуществляют сбор и/или обработку персональных данных (самостоятельно либо совместно с третьими лицами);
- определяет цели работы с личной информацией.
Таким образом, Роскомнадзор вправе проверить любую организацию или предпринимателя, которые в процессе ведения деятельности работают с персональной информацией третьих лиц. К примеру, субъектом проверки Роскомнадзора могут выступать:
- предприятия/ИП, у которых есть наемные работники;
- компании, работающие в сфере ИТ и осуществляющие сбор персональной информации пользователей;
- фирмы, работающие с клиентами и ведущие учет их личных данных (так называемые клиентские базы).
Как видим, от проверки Роскомнадзора не застрахован практически никто. Инспекторы Службы могут нагрянуть с проверкой как к ИТ-компании, которая обрабатывает массивы персональных данных пользователей, так и к ИП, который заключил трудовые договора с несколькими сотрудниками.
Проверка Роскомнадзора по защите персональных данных
Далее выясним, что именно проверяет Роскомнадзор в ходе инспекции.
Положение «О федеральной службе по надзору в сфере связи» не содержит четкого перечня документов, который Роскомнадзор может запросить у проверяемой организации. Что касается целей проверки, то в Положении указаны только общие фразы о контроле за обработкой персональных данных требованиям действующего законодательства.
На практике организации сталкиваются с проверкой:
- документов, в которых содержаться персональные данные. В данную категорию включаются все документы, в которых отражена какая-либо личная информация о сотрудниках, клиентах, третьих лицах. К примеру, документами, в которых содержится информация о личных данных, являются трудовые соглашения с сотрудниками, договора с клиентами, заявки, анкеты и прочие документы при наличии в них паспортных данных сотрудника/клиента, информации о семье, автобиографии, т.п.;
- персональных данных на электронных носителях. Как правило, организация хранит персональные данные о сотрудниках (клиента) на ПК в виде электронных баз данных. Задача Роскомнадзора – проверить правильность хранения и обработки информации на ПК;
- локальных нормативных актов. Одно из основных условий работы с персональными данными – наличие у ОПД локального нормативного акта, регламентирующего порядок сбора, хранения, обработки личной информации сотрудников (клиентов, третьих лиц). Как правило, таким документом выступает специальный Порядок либо учетная политика;
- интернет-сайта компании. Многие компании используют свой интернет-сайт для сбора информации о клиентах, а также для консолидации заявок (анкет). В ходе инспекции Роскомнадзор проверяет соблюдение требований по дальнейшей обработке полученных компанией данных, а также об уведомлении пользователей о том, как организация будет использовать их персональные данные.
Читайте также статью ⇒ «Что проверяет Ростехнадзор».
Периодичность проверок Роскомнадзора
Согласно регламенту, Роскомнадзор вправе осуществлять как плановые, так и внеплановые проверки ОПД.
Периодичность проведения Роскомнадзором плановых проверок – в таблице ниже:
| № п/п | Категория ОПД | Периодичность проведения плановых проверок |
| 1 | Операторы государственных информационных систем | 1 раз в 2 года
|
| 2 | Операторы специальных и биометрических категорий персональных данных | |
| 3 | ОПД, осуществляющие трансграничную передачу персональных данных между государствами | |
| 4 | Прочие категории ОПД (общий порядок) | 1 раз в 3 года |
Плановые проверки ОПД осуществляются по утвержденному графику, с которым можно ознакомиться на сайте Службы (https://rkn.gov.ru/plan-and-reports/).
Помимо плановых проверок, Роскомнадзор вправе посетить организацию с внеплановой инспекцией. Основанием для проведения внеплановой проверки является жалоба сотрудника (клиента, третьего лица) в части нарушения организацией обработки его персональных данных.
Читайте также статью ⇒ «Внеплановая проверка Роспотребнадзора без предупреждения: основания жалобы».
Как подготовится к проверке Роскомнадзора
Если Ваша организация включена в график плановой проверки Роскомнадзора на 2024 год, либо Вы получили уведомление Службы о проведении внеплановой проверки на основании жалобы, то Вам следует подготовиться к визиту инспекторов.
Основные моменты, на которые стоит обратить внимание при подготовке к проверке Роскомнадзора – в таблице ниже:
| № п/п | Как подготовиться к проверке Роскомнадзора | Описание |
| 1 | Отправка уведомления в Роскомнадзор | При постановке на учет в ЕГР компания направляет в Роскомнадзор уведомление об обработке персональных данных. Удостоверьтесь, что уведомление было отправлено в Службу до начала ведения деятельности, в противном случае компании грозит штраф. |
| 2 | Наличие регламента работы с персональными данными в локальных актах | Оформите (либо проверьте наличие) внутренней Политики в отношении обработки персональных данных. Документ должен содержать регламент работы с персональной информацией сотрудников (клиентов, третьих лиц), а также перечень должностных лиц, ответственных за обработку персональных данных, их сбор и хранение, а также за оформление необходимых документов. |
| 3 | Проведение внутренней ревизии |
Перед визитом инспекторов проведите внутреннюю ревизию (самостоятельно либо с помощью ответственного лица). Проверьте:
|
Читайте также статью ⇒ «Как подготовиться к проверке Ростехнадзора».
Порядок проведения проверки Роскомнадзором
Первый этап проверки Роскомнадзора – уведомление ОПД о предстоящем визите инспекторов.
Уведомление оформляется на бланке установленного образца, в нем отражается информация о сроках предстоящей проверки, ее целях. Также уведомление содержит план проводимых контрольных мероприятий.
Срок выездной проверки Роскомнадзора составляет до 20-ти рабочих дней и при наличии объективных оснований может быть продлен еще на 20 дней. В ходе проверки сотрудники Службы вправе инспектировать помещения, проверять документы (в соответствие с письменным запросом), беседовать с сотрудниками.
По окончанию проверки инспекторы Роскомнадзора составляют акт, в котором описывают нарушения (при выявлении таковых), указывают сроки их устранения.
В случае несогласия с результатами проверки, ОПД вправе обжаловать акт путем обращения в орган Роскомнадзора в течение 30-ти календарных дней с момента составления акта.
Загрузка...