Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные: новое с 2021 года, проверки Роскомнадзора». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.
Уведомление оператора персональных данных
Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:
- уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
- уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
- персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).
Что проверяет Роскомнадзор?
Предметом государственного контроля являются:
- Документы, характер информации в которых предполагает или допускает включение в них персональных данных.
- Проверка сведений, содержащихся в уведомлении об обработке ПДн:
- договоры с внешними организациями,
- проездные документы и бронирование гостиниц при организации командировок,
- добровольное медицинское страхование,
- обеспечение телефонной связью,
- заработная плата сотрудникам,
- изготовление визитных карточек.
Подготовка по требованиям 152-ФЗ и подготовка к проверке Роскомнадзора: отличия
Глобальная проблема состоят в том, что закон не устанавливает точный перечень организационно-распорядительной документации, которую требуется разработать для соответствия закону и тем более перечень документов, которые запрашиваются на проверке. Роскомнадзор, как и любой другой регулятор, имеет право запросить не только конкретные документы, но и сведения, которые должны быть оформлены в виде справок от организации (в бумажном виде). Поэтому пакет документов для соответствия требованиям закона (около 40 документов) и пакет документов для прохождения проверки Роскомнадзора (плюс еще около 20 документов) отличаются, т.е. пакет для прохождения проверки более полный (итого около 60 документов).
Также нужно учесть, что в зависимости от территориального органа состав запрашиваемых документов может разниться.
Даже в зависимости от проверяющих требования отличаются («человеческий фактор»). По итогу, не имея опыта прохождения проверки Роскомнадзора, без обращения к компетентной организации – пройти проверку практически невозможно.
Услуги по подготовке к проверке
Специалисты Центра безопасности данных имеют большой опыт взаимодействия с Роскомнадзором в ходе контрольных мероприятий. Мы проанализируем все процессы обработки персональных данных в вашей компании, разработаем стратегию подготовки к проверке и её прохождения, подготовим все необходимые документы и рекомендации, проанализируем все запросы проверяющих и составим на них ответы, подскажем как вести себя в ходе проверки и ответим на все вопросы касательно персональных данных и проверки.
По результатам подготовки к проверке Роскомнадзора вы получите:
- первичную консультацию с выработкой стратегии прохождения проверки;
- комплект внутренних организационно-распорядительных документов, регламентирующих вопросы обработки и защиты персональных данных;
- консультации по вопросам в области персональных данных;
- регистрацию в качестве оператора персональных данных;
- анализ сведений в реестре операторов персональных данных и внесение изменений при необходимости;
- анализ запросов Роскомнадзора и подготовка ответов;
- консультации по вопросам прохождения проверки.
В каких случаях потребуется уведомление Роскомнадзора
С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
- получаемых и обрабатываемых в рамках трудового законодательства;
- получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
- относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
- разрешенных физлицом для распространения;
- включающих в себя только фамилии, имена и отчества физлиц;
- необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.
Административным регламентом №312 определена последовательность действий (административных процедур) Роскомнадзора и его территориальных органов.
В частности, предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных являются (п. 5 Административного регламента №312):
- документы, характер информации в которых предполагает или допускает включение в них персональных данных (напр., личные дела работников)
- информационные системы персональных данных (напр., правила ведения электронного документооборота в программе 1С)
- деятельность по обработке персональных данных (напр., локальный нормативный акт о защите ПДР, согласие на обработку персональных данных и др.)
Общий перечень документов, подлежащих проверке, законодательно не определен.
Приведем примерный список документов:
- Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав и др.)
- Список ПД, обрабатываемых работодателем
- Список работников, имеющих доступ к ПД, приказ об их допуске
- Инструкции работников, которые в ходе своей трудовой деятельности обрабатывают ПД и обеспечивают информационную защиту
- Положение об ответственности работников за разглашение ПД и нарушение запрета доступа к ним
- Локальный нормативный акт о защите ПД
- Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности)
- Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи работников по требованиям информационной безопасности)
- Соглашения о неразглашении ПД с подписями работников
- Бланки согласия работников на обработку их ПД
- Журналы инструктажей работников по вопросам информационной безопасности и других внутренних контрольных мероприятий режима защиты
- Журналы учета всех носителей информации, а также средств защиты информационных систем
Подотчетным станет сбор персональных данных:
- в ходе трудовых отношений,
- при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
- уже упомянутых ФИО,
- даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
- для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).
Регламент проведения проверок обращения с персданными
Правительство РФ утвердило правила проверок организаций на предмет того, не нарушают ли они закон при обработке персональных данных своих сотрудников и клиентов-физлиц.
Объект проверки
Проверять будут юрлиц и ИП, являющихся операторами персданных.
Таким образом, контролю подвергнут работодателей, поскольку они являются операторами персданных.
Виды проверок
Ревизии могут проходить в виде:
- плановых проверок – выездных и документарных;
- внеплановых проверок – выездных;
- мероприятий без взаимодействия инспекторов с операторами.
Плановые проверки
Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.
Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.
В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.
Внеплановые проверки
Проводятся на основании:
- обращений граждан;
- по требованию прокурора;
- в случае неисполнения оператором предписания.
Уведомление компании
Роскомнадзор должен уведомить фирму:
- о проведении плановой проверки – не позднее чем за 3 рабочих дня:
- о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.
Способ уведомления – направление копии приказа о проведении проверки (либо-либо):
- заказным письмом с уведомлением о вручении;
- электронным документом с усиленной квалифицированной электронной подписью на электронную почту.
Что будут проверять
Инспекторы проверят:
- документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 закона о персданных;
- обработку персданных на предмет ее соответствия установленным требованиям;
- информационные системы персданных.
Организация собирала персональные данные банковских клиентов-физлиц, содержащиеся в социальных сетях «ВКонтакте», «Одноклассниках», «МойМир», Instragram, Twitter, а также на интернет-порталах «Авито» и «Авто.ру».
По мнению компании, она вправе обрабатывать эти данные без согласия физлиц, поскольку они содержатся в открытых источниках, а значит, являются общедоступными.
Роскомнадзор решил, что компания ошибается, и суд с ним согласился.
В соответствии с ч. 1 ст. 8 закона о персональных данных в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В такие источники с письменного согласия субъекта персданных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные личные данные, сообщаемые их носителем.
Исходя из этих положений закона, размещение персональных данных в социальных сетях автоматически не делает их общедоступными. Следовательно, не допускается обработка таких данных без согласия субъекта.
Таким образом, в нарушение п. 1 ч. 1 ст. 6 и ч. 3 ст. 22 закона о персданных компания обрабатывала их, не получив у граждан согласия.
Компания вправе по запросу адвоката выдать копию трудовой книжки супругу
Бывшая сотрудница подала иск к своему бывшему работодателю, потребовав признать незаконными его действия по передаче копии ее трудовой книжки адвокату ее бывшего мужа.
Адвокат использовал этот документ в качестве доказательства в процессе о взыскании алиментов.
Истица своего согласия на передачу копий трудовой книжки третьим лицам не давала.
Таким образом, компания нарушила ст. 3 закона о персональных данных и ст. 87, 88 Трудового кодекса РФ, не обеспечив сохранность ее персданных и неправомерно передав их без согласия и судебного запроса неуполномоченному лицу.
Однако суд решил, что адвокат является именно уполномоченным лицом.
Запрос был сделан на основании п. 1 ч. 3 ст. 6 Закона от 31.05.2002 № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации». Данная норма дает право собирать адвокату сведения, необходимые для оказания юрпомощи, в том числе запрашивать справки, характеристики и иные документы не только у госорганов, но и организаций. Они обязаны выдать адвокату запрошенные им документы или их заверенные копии в месячный срок со дня получения запроса адвоката.
Кроме того, в запросе адвокат указал, что сведения о трудовой деятельности ему необходимы для предъявления в суд в качестве доказательств по гражданскому делу, рассматриваемому в закрытом судебном заседании, и гарантировал соблюдение режима конфиденциальности представленных сведений.
Компания, в свою очередь, направляя копию трудовой книжки, указала в сопроводительном письме, что использовать полученные персональные данные работника он может исключительно для целей, указанных в его запросе, с соблюдением режима секретности (конфиденциальности).
Таким образом, нормы права не были нарушены.
В соответствии с п. 2 и 3 ч. 1 ст. 6 закона о персональных данных обработка персданных истца осуществлялась в целях обеспечения права на представление доказательств по гражданскому делу.
Процедура инспекции зависит от ее типа, основными являются следующие:
- Плановые. В конце года составляется график проведения инспекций на следующий период, и эта информация публикуется на официальном сайте уполномоченного органа. За три дня до начала инспекции проверяемая организация предупреждается лично или письмом.
- Внеплановые. Такие мероприятия осуществляются после поступивших жалоб. В зависимости от степени серьезности нарушения о визите инспекторов могут сообщить за сутки или вовсе не предупредить.
- Документарные. Контролирующий орган запрашивает необходимые документы, которые руководитель предприятия обязан предоставить в определенные сроки.
- Выездные. Территория организации осматривается сотрудниками уполномоченного органа.
Такие инспекции могут проводиться как Роскомнадзором, так и ФСБ.
Как осуществляется проверка
Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.
Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.
Проверки могут быть плановыми и внеплановыми. При этом плановые бывают:
- Выездными — инспектор приезжает на место работы оператора или по адресу регистрации бизнеса.
- Документарными — ведомство запрашивает документы на проверку по почте.
При этом Роскомнадзор может в любой момент запросить у оператора пояснения по поводу претензии. Это произойдет, если в ведомство обратится любой человек, которому показалось, что его личная информация недостаточно защищена, ее кому-то передают без его ведома или хранят, несмотря на просьбу об удалении. Такое обращение ведомства НЕ является документарной проверкой и не требует внесения в план.
Внеплановые проверки теперь могут быть только выездными, документарными — нет.
Также выделяют наблюдение без взаимодействия с оператором. В этом случае сотрудники РКН никак не уведомляют организацию или ИП, что их проверяют, пока (если) не возникнут нарекания.
Порядок истребования документов у организаций и ИП
Согласно ч. 1 ст. 14 закона № 294 обязательным условием для начала проверки является издание руководством территориального органа Роскомнадзора соответствующего приказа. Перечень требований к данному приказу обозначен в ч. 2 ст. 14 закона № 294. В приказе о проведении проверки должен быть указан исчерпывающий перечень документов, которые организации нужно представить для достижения цели проверки.
Для справки! В законодательстве нет конкретного перечня документов, которые вправе истребовать проверяющие сотрудники Роскомнадзора, или ограничений по истребованию отдельных видов документов. Поэтому в рамках проверки может быть запрошен любой документ (кроме уже имеющихся в Роскомнадзоре), но только в пределах проверяемых Роскомнадзором направлений.
В то же время порядок истребования документов установлен достаточно подробно и выглядит он следующим образом:
- согласно чч. 4 и 5 ст. 11 закона № 294 Роскомнадзор должен направить в проверяемую организацию письменный запрос и копию приказа о проведении проверки с указанием списка всех необходимых документов;
- после получения такого запроса организация должна в течение 10 дней направить заверенные ее руководителем копии указанных документов.
Важно! Копии документов можно отправить как по почте, так и в электронном виде, заверив их усиленной ЭЦП, если такая возможность есть у организации.
Цель инспекции Роскомнадзора, что проверяется
Любое предприятие, набирающее в штат наёмных работников, не может официально их трудоустроить, не проведя, при этом, процедуру идентификации. В связи с этим, множество организаций проходит проверку Роскомнадзором персональных данных (далее – ПД), получаемых не только от работников, но и от клиентов.
Инспектируемый объём сведений отличается в зависимости от вида инспекции. Контролирующий орган вправе запросить нужные документы и изучить их удалённо, а может нанести визит работодателю и таким образом расширить круг проверки.
Понятие персональных данных охватывает объём информации, касающейся идентификации каждого человека. Таковой являются паспортные данные, адрес проживания, грамотно заполненная трудовая книжка, опыт работы и так далее.
ФЗ «О персональных данных» обязан соблюдать любой работодатель. Это является одной из основных целей поверки Роскомнадзора. Поскольку инспекция занимается защитой информации, другой направленностью является техническая проверка компьютерных систем предприятия.
При наличии веб-сайта, на котором требуется вводить персональные данные, важно оповещать посетителей о цели сбора предприятием таких сведений. Кроме этого, важно получить электронное согласие клиента на обработку его данных.
Вне зависимости от того, предупреждён работодатель о предстоящей инспекции, или нет, следует знать, что проверяет проверка Роскомнадзора по защите персональных данных. Для того, чтобы снизить вероятность штрафных санкций для своего предприятия, нужно привести в порядок ряд важных документов. Единого перечня проверяемой документации не существует, поэтому целесообразно выделить наиболее важные из них, которые чаще всего запрашиваются.
Похожие записи: