Проверки по защите персональных данных: как проходят и можно ли оспорить

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Проверки по защите персональных данных: как проходят и можно ли оспорить». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.

Уведомление оператора персональных данных

Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:

• уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
• уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
• персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

Подготовка по требованиям 152-ФЗ и подготовка к проверке Роскомнадзора: отличия

Глобальная проблема состоят в том, что закон не устанавливает точный перечень организационно-распорядительной документации, которую требуется разработать для соответствия закону и тем более перечень документов, которые запрашиваются на проверке. Роскомнадзор, как и любой другой регулятор, имеет право запросить не только конкретные документы, но и сведения, которые должны быть оформлены в виде справок от организации (в бумажном виде). Поэтому пакет документов для соответствия требованиям закона (около 40 документов) и пакет документов для прохождения проверки Роскомнадзора (плюс еще около 20 документов) отличаются, т.е. пакет для прохождения проверки более полный (итого около 60 документов).

Также нужно учесть, что в зависимости от территориального органа состав запрашиваемых документов может разниться.

Даже в зависимости от проверяющих требования отличаются («человеческий фактор»). По итогу, не имея опыта прохождения проверки Роскомнадзора, без обращения к компетентной организации – пройти проверку практически невозможно.

Что проверяет Роскомнадзор

Стоит выделить несколько ключевых вопросов, которые во время аудита обращают на себя внимание контролирующего органа:

• Наличие Уведомления об обработке персональных данных и соответствие указанной в нем информации. Роскомнадзор отслеживает актуальность Уведомления, поэтому в случае смены цели обработки персональных данных или ответственного лица необходимо предупреждать федеральную службу.

• Соответствие документа о защите персональных данных требованиям законодательства. Их достаточно много: в организации должны регулярно проводиться внутренние мероприятия по проверке и защите персональных данных, данные должны уничтожаться по достижении цели их получения и обработки, а доступ к помещениям и носителям информации должен быть контролируемым. Причем все эти действия должны быть подкреплены документально.

• Соответствие формы согласия на обработку персональных данных.

• Наличие разрешения на обработку специальных категорий персональных данных.

• Соблюдение условий Положения о локализации хранения персональных данных.

• Осведомленность сотрудников о положениях законодательства РФ о работе с персональными данными и локальными актами организации.

Услуги по подготовке к проверке

Специалисты Центра безопасности данных имеют большой опыт взаимодействия с Роскомнадзором в ходе контрольных мероприятий. Мы проанализируем все процессы обработки персональных данных в вашей компании, разработаем стратегию подготовки к проверке и её прохождения, подготовим все необходимые документы и рекомендации, проанализируем все запросы проверяющих и составим на них ответы, подскажем как вести себя в ходе проверки и ответим на все вопросы касательно персональных данных и проверки.

По результатам подготовки к проверке Роскомнадзора вы получите:

• первичную консультацию с выработкой стратегии прохождения проверки;
• комплект внутренних организационно-распорядительных документов, регламентирующих вопросы обработки и защиты персональных данных;
• консультации по вопросам в области персональных данных;
• регистрацию в качестве оператора персональных данных;
• анализ сведений в реестре операторов персональных данных и внесение изменений при необходимости;
• анализ запросов Роскомнадзора и подготовка ответов;
• консультации по вопросам прохождения проверки.

Виды проверок соблюдения законодательства о персональных данных

Ключевые моменты в положении о проверках, которые нужно учитывать предприятиям:

1. Роскомнадзор проверяет две ключевые составляющие деятельности операторов ПД (п. 7 Положения по постановлению № 1046):

• деятельность по обработке персональных данных самого оператора и третьих лиц, которые выполняют его поручения;
• результаты деятельности оператора по разработке документов и локальных нормативов, направленных на обеспечение требований по ч. 1 ст. 18.1 Закона № 152-ФЗ.

1. Предусмотрены профилактические мероприятия (п. 13 Положения), контрольно-надзорные мероприятия (п. 42 Положения).

Указанная классификация основана на перечнях профилактических и контрольно-надзорных мероприятий, приведенных, соответственно, в ст. 45 и 56 Закона № 248-ФЗ. Профилактические мероприятия — это «мягкие» варианты взаимодействия регулятора и контролируемого лица, контрольно-надзорные — более «строгие». Возможно, что по итогам профилактического мероприятия будет начато контрольно-надзорное (ч. 4 ст. 45 Закона № 248-ФЗ).

1. Частота и типы профилактических и контрольно-надзорных мероприятий привязаны к категории риска, присвоенной хозяйствующему субъекту (п. 10 Положения).

Кого проверяет Роскомнадзор

В соответствие с Положением о Роскомнадзоре (постановление Правительства №228 от 16.03.2009 года), Служба осуществляет контроль и надзор деятельности операторов персональных данных в части выполнения ними требований действующего законодательства.

Оператор персональных данных (ОПД) – любая организация, ИП, физлицо, федеральных или муниципальный орган власти, который каким-либо образом взаимодействует с личной (персональной) информацией третьих лиц.

В состав персональной информации включаются:

• паспортные данные;
• ИНН;
• место проживания;
• информация о составе семьи;
• данные о фактическом местонахождении;
• банковские реквизиты;
• личная информация из автобиографии.

Таким образом, Роскомнадзор вправе проверить:

• любого работодателя, который консолидирует личную информацию о сотрудниках;
• компанию сферы ИТ, которая занимается обработкой персональных данных пользователя;
• фирму, которая собирает заявки от клиентов путем анкетирования (в том числе через интернет-сайт или электронную почту).

Порядком предусмотрено проведение Роскомнадзором как плановых, так и внеплановых проверок. Плановые проверки осуществляются согласно утвержденному графику. Внеплановые проверки могут проводится на основании жалоб, поступивших в Роскомнадзор в части нарушения ОПД требований действующего законодательства.

Административным регламентом №312 определена последовательность действий (административных процедур) Роскомнадзора и его территориальных органов.

В частности, предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных являются (п. 5 Административного регламента №312):

• документы, характер информации в которых предполагает или допускает включение в них персональных данных (напр., личные дела работников)
• информационные системы персональных данных (напр., правила ведения электронного документооборота в программе 1С)
• деятельность по обработке персональных данных (напр., локальный нормативный акт о защите ПДР, согласие на обработку персональных данных и др.)

Общий перечень документов, подлежащих проверке, законодательно не определен.

Приведем примерный список документов:

• Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав и др.)
• Список ПД, обрабатываемых работодателем
• Список работников, имеющих доступ к ПД, приказ об их допуске
• Инструкции работников, которые в ходе своей трудовой деятельности обрабатывают ПД и обеспечивают информационную защиту
• Положение об ответственности работников за разглашение ПД и нарушение запрета доступа к ним
• Локальный нормативный акт о защите ПД
• Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности)
• Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи работников по требованиям информационной безопасности)
• Соглашения о неразглашении ПД с подписями работников
• Бланки согласия работников на обработку их ПД
• Журналы инструктажей работников по вопросам информационной безопасности и других внутренних контрольных мероприятий режима защиты
• Журналы учета всех носителей информации, а также средств защиты информационных систем

Фотографии работников без отдельного согласия использовать запрещено

Роскомнадзор по итогам плановой проверки выписал организации (бассейну) предписание с требованием прекратить использование на пропусках клиентов их фотографий.

Нарушение заключалось в том, что бассейн не заручился отдельными письменными согласиями пловцов на обработку их биометрических персональных данных в виде фотоизображений (ст. 11 закона № 152-ФЗ).

Организация возразила:

1. посетители бассейна давали общее согласие на обработку их персданных;
2. фотографии к своим пропускам люди прикрепляли добровольно;
3. пока они плавали, предприятие не занималось цифровой или текстовой обработкой этих фотографий;
4. закон не относит фотографическое изображение гражданина на бумажном носителе к биометрическим персональным данным, в связи с чем бассейн может использовать фото посетителей и с их устного согласия.

Судьи с этим не согласились.

В соответствии со ст. 11 закона № 152-ФЗ биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Истолковав данное Определение, суд пришел к выводу, что фотографическое изображение, содержащиеся на документе «Пропуск», является биометрическими персональными данными, поскольку характеризует физиологические и биологические особенности человека, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска.

Персональные данные из социальных сетей просто так брать нельзя

Организация собирала персональные данные банковских клиентов-физлиц, содержащиеся в социальных сетях «ВКонтакте», «Одноклассниках», «МойМир», Instragram, Twitter, а также на интернет-порталах «Авито» и «Авто.ру».

По мнению компании, она вправе обрабатывать эти данные без согласия физлиц, поскольку они содержатся в открытых источниках, а значит, являются общедоступными.

Роскомнадзор решил, что компания ошибается, и суд с ним согласился.

В соответствии с ч. 1 ст. 8 закона о персональных данных в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В такие источники с письменного согласия субъекта персданных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные личные данные, сообщаемые их носителем.

Исходя из этих положений закона, размещение персональных данных в социальных сетях автоматически не делает их общедоступными. Следовательно, не допускается обработка таких данных без согласия субъекта.

Таким образом, в нарушение п. 1 ч. 1 ст. 6 и ч. 3 ст. 22 закона о персданных компания обрабатывала их, не получив у граждан согласия.

Что такое персональные данные

Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.

Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.

Важно! Если согласия нет, могут последовать наказания – штрафы, блокировка сайта, приостановка работы, отзыв лицензии.

Особенности подготовки к проверке

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
2. Проверка соответствия деятельности информации, прописанной в едином реестре.
3. Назначение лица, ответственного за работу с ПД.
4. Составление Политики фирмы в отношении обработки ПД.
5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
6. Проверка правильности хранения документов, ограниченности доступа к ним.
7. Проверка системы безопасности: наличие замков и сейфов.

Как подготовиться к проверке персональных данных Роскомнадзором

Есть несколько рекомендаций, позволяющих подготовиться к проверке организации защиты персональных данных быстро и эффективно.

Стоит правильно распределить внимание. Электронному документообороту едва ли будет уделено много внимания инспектором – такие проверки осуществляют другие организации. Инспектору будет сложно сориентироваться сразу в том комплексе программ, которые используются на предприятии.

Больше нужно следить за бумагами, особенно, копиями паспортов. Хранение копий в доступном месте мгновенно породит у инспектора много вопросов.

На предприятии должны храниться заполненными бланки «согласия сотрудника на обработку персональных данных» (название может немного отличаться). Если таких бумаг нет, то можно предположить, что личные данные о сотрудниках были получены руководителем просто незаконно.

Инспектор может провести опрос среди персонала на предмет того, знают ли они, какие меры предпринимает фирма для защиты их персональных данных.

Естественно, если сотрудники не смогут ничего пояснить по этому поводу, при заполнении итогового акта организация получит «минус». Лучший способ избежать такой ситуации для руководителя – провести предварительный инструктаж по охране личных сведений.

Проблема нехватки времени решается если, если очному обучению предпочесть дистанционные курсы бухгалтерского учета, пройти которые получится при помощи Интернета.

Для того чтобы избежать мошенничества со стороны распадающейся или уже распавшейся фирмы, предусмотрена специальная процедура проверки организации на банкротство о которой можно узнать из этой статьи.

Отнестись к проверке Роскомнадзора нужно серьезно – многочисленные нарушения в охране персональных данных сотрудников на предприятии грозят временным прекращением деятельности и отзывом лицензии, который может стать окончательным, если ошибки в срочном режиме не будут исправлены.

Также не стоит легкомысленно относиться к штрафам за нарушения – неуплата таких сумм, пусть даже и совсем небольших, грозит административным арестом руководителя и его задержанием на 15 суток.

Как проходит проверка Роскомнадзора по защите персональных данных

Программа предусматривает поэтапное взаимодействие:

• предприятие получает уведомление (при плановой проверке – за 3 дня, при внеплановой – за сутки), в нём указывается дата проведения и номер приказа;
• при документарной проверке (только плановой) высылается запрос и перечень документов, которые нужно представить. Руководитель высылает копии, заверенные своей подписью;
• при выездной проверке (плановой или внеплановой, может следовать за документарной, если выявлены недочёты) приезжают два инспектора, которые проверяют соответствие документов реальному положению дел;
• контролирующий орган выносит решение и даёт предписания;
• предприятие выполняет предписания.

Важно! Если предписания выполнены в срок, предприятие продолжает свою деятельность без взысканий.

Что требует проверяющий

Административным регламентом №312 определена последовательность действий (административных процедур) Роскомнадзора и его территориальных органов.

В частности, предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных являются (п. 5 Административного регламента №312):

• документы, характер информации в которых предполагает или допускает включение в них персональных данных (напр., личные дела работников)
• информационные системы персональных данных (напр., правила ведения электронного документооборота в программе 1С)
• деятельность по обработке персональных данных (напр., локальный нормативный акт о защите ПДР, согласие на обработку персональных данных и др.)

Общий перечень документов, подлежащих проверке, законодательно не определен.

Кого проверяет Роскомнадзор

В соответствие с Положением о Роскомнадзоре (постановление Правительства №228 от 16.03.2009 года), Служба осуществляет контроль и надзор деятельности операторов персональных данных в части выполнения ними требований действующего законодательства.

Оператор персональных данных (ОПД) – любая организация, ИП, физлицо, федеральных или муниципальный орган власти, который каким-либо образом взаимодействует с личной (персональной) информацией третьих лиц.

В состав персональной информации включаются:

• паспортные данные;
• ИНН;
• место проживания;
• информация о составе семьи;
• данные о фактическом местонахождении;
• банковские реквизиты;
• личная информация из автобиографии.

Таким образом, Роскомнадзор вправе проверить:

• любого работодателя, который консолидирует личную информацию о сотрудниках;
• компанию сферы ИТ, которая занимается обработкой персональных данных пользователя;
• фирму, которая собирает заявки от клиентов путем анкетирования (в том числе через интернет-сайт или электронную почту).

Похожие записи:

• Учётная политика предприятия на 2023 год
• Нормы расхода воды в 2020 году на 1 человека в месяц
• Перенос отпуска в связи с производственной необходимостью: порядок отмены