Проверка Роскомнадзора по защите персональных данных

Автор статьи

Амина С.

5 минут на чтение
921 просмотров
Содержание Содержание

В феврале 2024 года Федеральная служба по надзору в сфере связи, ИТ и массовых коммуникаций (далее – Роскомнадзору) утвердила порядок, в соответствие с которым будут проводиться проверки операторов персональных данных. В статье разберем, как осуществляется проверка Роскомнадзора по защите персональных данных, а также выясним, как организации подготовится к визиту инспекторов.

Кого проверяет Роскомнадзор

Функциональные полномочия и регламент деятельность Роскомнадзора регламентированы Положением «О федеральной службе по надзору в сфере связи, ИТ и массовых коммуникаций», утвержденным Правительством РФ №228 от 16.03.2009 года.

В соответствие с документом, функциями Роскомнадзора является контроль за обработкой персональных данных требованиям действующего законодательства. Субъектом контроля Роскомнадзора выступает операторы персональных данных (ОПД) – организации, ИП, физлица, госорганы, которые:

  • осуществляют сбор и/или обработку персональных данных (самостоятельно либо совместно с третьими лицами);
  • определяет цели работы с личной информацией.

Таким образом, Роскомнадзор вправе проверить любую организацию или предпринимателя, которые в процессе ведения деятельности работают с персональной информацией третьих лиц. К примеру, субъектом проверки Роскомнадзора могут выступать:

  • предприятия/ИП, у которых есть наемные работники;
  • компании, работающие в сфере ИТ и осуществляющие сбор персональной информации пользователей;
  • фирмы, работающие с клиентами и ведущие учет их личных данных (так называемые клиентские базы).

Как видим, от проверки Роскомнадзора не застрахован практически никто. Инспекторы Службы могут нагрянуть с проверкой как к ИТ-компании, которая обрабатывает массивы персональных данных пользователей, так и к ИП, который заключил трудовые договора с несколькими сотрудниками.

Проверка Роскомнадзора по защите персональных данных

Далее выясним, что именно проверяет Роскомнадзор в ходе инспекции.

Положение «О федеральной службе по надзору в сфере связи» не содержит четкого перечня документов, который Роскомнадзор может запросить у проверяемой организации. Что касается целей проверки, то в Положении указаны только общие фразы о контроле за обработкой персональных данных требованиям действующего законодательства.

На практике организации сталкиваются с проверкой:

  • документов, в которых содержаться персональные данные. В данную категорию включаются все документы, в которых отражена какая-либо личная информация о сотрудниках, клиентах, третьих лицах. К примеру, документами, в которых содержится информация о личных данных, являются трудовые соглашения с сотрудниками, договора с клиентами, заявки, анкеты и прочие документы при наличии в них паспортных данных сотрудника/клиента, информации о семье, автобиографии, т.п.;
  • персональных данных на электронных носителях. Как правило, организация хранит персональные данные о сотрудниках (клиента) на ПК в виде электронных баз данных. Задача Роскомнадзора – проверить правильность хранения и обработки информации на ПК;
  • локальных нормативных актов. Одно из основных условий работы с персональными данными – наличие у ОПД локального нормативного акта, регламентирующего порядок сбора, хранения, обработки личной информации сотрудников (клиентов, третьих лиц). Как правило, таким документом выступает специальный Порядок либо учетная политика;
  • интернет-сайта компании. Многие компании используют свой интернет-сайт для сбора информации о клиентах, а также для консолидации заявок (анкет). В ходе инспекции Роскомнадзор проверяет соблюдение требований по дальнейшей обработке полученных компанией данных, а также об уведомлении пользователей о том, как организация будет использовать их персональные данные.

Читайте также статью ⇒ «Что проверяет Ростехнадзор».

Периодичность проверок Роскомнадзора

Проверка Роскомнадзора по защите персональных данных

Согласно регламенту, Роскомнадзор вправе осуществлять как плановые, так и внеплановые проверки ОПД.

Периодичность проведения Роскомнадзором плановых проверок – в таблице ниже:

№ п/п Категория ОПД Периодичность проведения плановых проверок
1 Операторы государственных информационных систем 1 раз в 2 года

 

2 Операторы специальных и биометрических категорий персональных данных
3 ОПД, осуществляющие трансграничную передачу персональных данных между государствами
4 Прочие категории ОПД (общий порядок) 1 раз в 3 года

Плановые проверки ОПД осуществляются по утвержденному графику, с которым можно ознакомиться на сайте Службы (https://rkn.gov.ru/plan-and-reports/).

Помимо плановых проверок, Роскомнадзор вправе посетить организацию с внеплановой инспекцией. Основанием для проведения внеплановой проверки является жалоба сотрудника (клиента, третьего лица) в части нарушения организацией обработки его персональных данных.

Читайте также статью ⇒ «Внеплановая проверка Роспотребнадзора без предупреждения: основания жалобы».

Как подготовится к проверке Роскомнадзора

Если Ваша организация включена в график плановой проверки Роскомнадзора на 2024 год, либо Вы получили уведомление Службы о проведении внеплановой проверки на основании жалобы, то Вам следует подготовиться к визиту инспекторов.

Основные моменты, на которые стоит обратить внимание при подготовке к проверке Роскомнадзора – в таблице ниже:

№ п/п Как подготовиться к проверке Роскомнадзора Описание
1 Отправка уведомления в Роскомнадзор При постановке на учет в ЕГР компания направляет в Роскомнадзор уведомление об обработке персональных данных. Удостоверьтесь, что уведомление было отправлено в Службу до начала ведения деятельности, в противном случае компании грозит штраф.
2 Наличие регламента работы с персональными данными в локальных актах Оформите (либо проверьте наличие) внутренней Политики в отношении обработки персональных данных. Документ должен содержать регламент работы с персональной информацией сотрудников (клиентов, третьих лиц), а также перечень должностных лиц, ответственных за обработку персональных данных, их сбор и хранение, а также за оформление необходимых документов.
3 Проведение внутренней ревизии

Перед визитом инспекторов проведите внутреннюю ревизию (самостоятельно либо с помощью ответственного лица). Проверьте:

  • ознакомлены ли сотрудники с необходимыми документами по обработке персональных данных;
  • условия хранения документов на бумажных носителях (наличие замков на помещениях, сейфов, т.п.);
  • уровень доступа к персональным данным на электронных носителях (доступ к ПО с персональной информацией могут иметь только ответственные сотрудники).

Читайте также статью ⇒ «Как подготовиться к проверке Ростехнадзора».

Порядок проведения проверки Роскомнадзором

Первый этап проверки Роскомнадзора – уведомление ОПД о предстоящем визите инспекторов.

Уведомление оформляется на бланке установленного образца, в нем отражается информация о сроках предстоящей проверки, ее целях. Также уведомление содержит план проводимых контрольных мероприятий.

Срок выездной проверки Роскомнадзора составляет до 20-ти рабочих дней и при наличии объективных оснований может быть продлен еще на 20 дней. В ходе проверки сотрудники Службы вправе инспектировать помещения, проверять документы (в соответствие с письменным запросом), беседовать с сотрудниками.

По окончанию проверки инспекторы Роскомнадзора составляют акт, в котором описывают нарушения (при выявлении таковых), указывают сроки их устранения.

В случае несогласия с результатами проверки, ОПД вправе обжаловать акт путем обращения в орган Роскомнадзора в течение 30-ти календарных дней с момента составления акта.

 

Добавить комментарий

Рекомендуем похожие статьи