Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что проверяет роскомнадзор по персональным данным в организации». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.
Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.
В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.
Что проверяет Роскомнадзор
Стоит выделить несколько ключевых вопросов, которые во время аудита обращают на себя внимание контролирующего органа:
-
Наличие Уведомления об обработке персональных данных и соответствие указанной в нем информации. Роскомнадзор отслеживает актуальность Уведомления, поэтому в случае смены цели обработки персональных данных или ответственного лица необходимо предупреждать федеральную службу.
-
Соответствие документа о защите персональных данных требованиям законодательства. Их достаточно много: в организации должны регулярно проводиться внутренние мероприятия по проверке и защите персональных данных, данные должны уничтожаться по достижении цели их получения и обработки, а доступ к помещениям и носителям информации должен быть контролируемым. Причем все эти действия должны быть подкреплены документально.
-
Соответствие формы согласия на обработку персональных данных.
-
Наличие разрешения на обработку специальных категорий персональных данных.
-
Соблюдение условий Положения о локализации хранения персональных данных.
-
Осведомленность сотрудников о положениях законодательства РФ о работе с персональными данными и локальными актами организации.
Как проверяет Роскомнадзор?
Существуют плановые и внеплановые проверки, которые проводятся как в отношении тех организаций, которые включены в реестр Роскомнадзора, так и тех, что не включены. Плановые проверки более безобидные, так как о том, что вас проверят, оповестят заранее (не позднее чем за три дня), а по внеплановым проверкам — всего за 24 часа. Роскомнадзор в конце каждого года публикует на своем сайте план проверок на следующий календарный год и проверяет в соответствии с ним.
Для организации все начинается с уведомления, которое приходит по почте России. В нем Роскомнадзор уведомляет о намерении проверить и кратко сообщает, что именно будет проверять. Также в уведомлении сообщается состав проверочной комиссии, дата и срок выездной проверки. Срок проверки обычно составляет 20 рабочих дней, но это не значит, что все 20 дней у вас будет сидеть комиссия, а говорит лишь о дедлайне проверки. Комиссия, как правило, приезжает всего 2-3 раза: первый раз — запросить документы, второй раз — забрать документы и третий раз — выдать акт о проверке с замечаниями и предписанием на устранение нарушений. Нередко сразу выписываются протоколы об административных правонарушениях.
По факту объем запрашиваемых документов и методика самой проверки сильно варьируются в зависимости от того или иного территориального управления Роскомнадзора.
Кратко порядок проверки выглядит так:
- Уведомление оператора о проведении плановой проверки путем направления копии приказа руководителя Роскомнадзора о проверке почтой России. Уведомление должно поступить оператору не позднее трех рабочих дней до начала ее проверки (при плановой проверке), что очень мало, чтобы успеть к ней подготовиться.
- Далее в указанный в уведомлении день проверки приезжает комиссия, как правило, в составе 2-3 человек для осуществления государственного контроля.
- На месте проверки комиссия запрашивает и рассматривает документы, имеющиеся у оператора «под рукой», и выдает список документов для предоставления оператором до окончания срока проверки. Непредоставление оператором запрошенных документов расценивается как несоответствие требованию закона, и выписывается штраф, а также предписание на устранение нарушений.
- По результатам рассмотрения представленных оператором к проверке документов Роскомнадзор составляет акт проверки, предписание об устранении выявленных нарушений, а также протоколы об административных нарушениях в отношении оператора.
- По окончании срока предписания об устранении выявленных нарушений назначается повторная внеплановая проверка. В случае неустранения нарушений деятельность организации приостанавливается.
Государственный контроль
С того момента, как компания приступает к обработке ПД и уведомляет об этом в Роскомнадзор, она попадает в сферу интересов государственных ведомств, призванных контролировать соблюдение законодательства. Защита персональных данных – в национальном законодательстве, сформировалась как направление защиты прав на сохранность информации о личной жизни.
В рамках этой концепции оператор персональных данных – юридическое лицо или индивидуальный предприниматель, который начал обрабатывать личную информацию лиц, не являющихся его сотрудниками, например, клиентов банков, абонентов мобильной связи, покупателей в интернет-магазинах.
На него возлагается ответственность за:
- сохранность данных, исключение их утечки или разглашения;
- соответствие правил работы с ПДн заявленным целям этой процедуры.
Оператор отвечает за действия сотрудников и третьих лиц, которым он передает данные для обработки.
Нормы ответственности в общем виде изложены в ст. 90 ТК РФ. Они разделяются на:
- дисциплинарную. На сотрудника, допустившего утечку или иное неосторожное обращение с персональными данными, например, уничтожение, могут быть наложены взыскание, замечание или выговор. В ряде случаев разглашение ПД становится поводом для увольнения;
- гражданско-правовую. Если действиями организации или сотрудника правообладателю был причинен ущерб, его компенсация будет возложена на виновника;
- административную. Привлечение к ответственности в рамках норм АПК РФ происходит по результатам проверок. Помимо штрафа, мерой ответственностью иногда является приостановление деятельности, связанной с использованием ПД;
- уголовную. УК РФ предусматривает ответственность за намеренное разглашение ПД, связанное с причинением существенного ущерба.
Административная ответственность предусмотрена ст. 13.11 КоАП РФ. На оператора персональных данных могут быть наложены штрафы за правонарушения в области работы с данными:
- за работу с персональными данными в целях, не предусмотренных законом, или в противоречии с ранее заявленными целями;
- за работу с данными без получения согласия правообладателя;
- за отказ от разработки или публикации в открытом доступе политики по работе с данными;
- за непредоставление правообладателю информации, касающейся судьбы его данных;
- за отказ от уточнения, блокировки или уничтожения данных по требованию субъектов;
- за невыполнение требований ФСТЭК РФ, касающихся использования сертифицированного программного обеспечения для защиты информации;
- за отказ от хранения персональных данных на серверах, находящихся на территории РФ.
Организация и проведение проверок
Проверки как форма контроля за соответствием работы с персональными данными требованиям закона проводятся государственными ведомствами – Роскомнадзором и ФСТЭК РФ. А в случаях, связанных с использованием средств криптографической защиты, – ФСБ РФ.
В обязанности Роскомнадзора входит проверка общих требований законодательства по защите персональных данных:
- соответствие целей работы с ПД заявленным при подаче уведомления о начале занятия деятельностью, связанной с использованием персональных данных;
- наличие политики по использованию ПД в общем доступе на сайте организации;
- сбор согласий на обработку данных;
- наличие приказов о назначении лиц, ответственных за работу с ПД;
- наличие иной организационно-распорядительной документации.
ФСТЭК проверяет наличие средств технической защиты информации, важно, чтобы это были рекомендованные и сертифицированные ведомством программные средства. Проверки могут быть плановыми и внеплановыми. Плановые проводятся не чаще чем раза в три года, и первая организовывается не ранее чем через три года после того, как организация направила в Роскомнадзор уведомление о начале деятельности, связанной с ПД. Внеплановая проверка проводится в любое время, в ситуации, не терпящей отлагательств, например, когда намеренное разглашение персональных данных привело к существенному ущербу для граждан.
Для проведения внеплановой проверки необходимо соблюдение двух условий:
- наличие сигнала о существенном нарушении закона, заявление или истечение срока действия предписания об устранении ранее допущенных нарушений законодательства;
- согласие региональной прокуратуры на назначение контрольного мероприятия.
Внеплановая проверка может проводиться только в серьезных ситуациях:
- компания не выполнила предписание, выданное по результатам плановой проверки, его или не отчиталась о результатах его выполнения;
- поступил сигнал от гражданина, компании, правоохранительного органа, СМИ, муниципальных властей о критической ситуации, связанной с тем, что причинен ущерб жизни или здоровью граждан, или существует риск такого ущерба, нарушены иные права граждан, деятельность организации не соответствует тем позициям, которые были заявлены в уведомлении.
Заявление, на основании которого проводится внеплановая проверка, обязательно должно позволять идентифицировать личность заявителя.
Если о плановой проверке компания узнает за год, из графика, размещенного на сайтах Генпрокуратуры и Роскомнадзора, то о внеплановой ее предупреждают за сутки по каналам связи, указанным в уведомлении о начале деятельности, связанной с использованием персональных данных.
Порядок проведения проверок Роскомнадзором утвержден в виде регламента, доступного на сайте ведомства. Он описывает два типа проверок:
- документарная. Она проводится в виде истребования интересующих ведомство документов, их изучение происходит в территориальном офисе ведомства;
- выездная. При проведении выездной проверки сотрудники Роскомнадзора выезжают в офис организации и изучают документы и порядок работы с персональными данными на месте.
Состав группы проверяющих всегда не менее двух сотрудников территориального органа, при необходимости они вправе пригласить эксперта или иного уполномоченного представителя. Срок каждого типа проверок ограничен 20 днями, на основании мотивированного постановления территориального подразделения ведомства он может быть продлен еще на 20 дней. Это усиление мер контроля за соответствием обработки персональных данных требованиям законодательства обычно обусловлено непредоставлением документов проверяемыми организациями или неясностями в документах.
Результатами проверки становятся:
- составление акта проверки и направление его в адрес организации;
- выдача предписания об устранении нарушений закона;
- привлечение оператора к административной ответственности;
- выдача предписания о приостановлении деятельности;
- направление мотивированного заключения в правоохранительные органы с просьбой о привлечении сотрудников оператора к уголовной ответственности.
Штрафы за неуведомление Роскомнадзора
Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).
Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.
Несколько практических рекомендаций по подготовке к проверке Роскомнадзора:
- Назначить работника, ответственного за обработку ПД
- Разработать и утвердить локальный нормативный акт о защите ПД
- Ознакомьте всех работников с документами по работе с ПД.
- Ежегодно проверять график проведения плановых проверок на официальном сайте Роскомнадзора
- Привести в порядок все документы, регламентирующие работу с ПД, обращая внимание на условия информации и хранения документов (напр., материально-техническое оснащение помещений: замки на дверях, наличие сейфов для документов и пр.)
- Постоянно отслеживать изменения в законодательстве РФ по ПД
- Регулярно проводить внутренний аудит документов, содержащих ПД
- Установить алгоритм поведения с проверяющими (они должны получать информацию у представителя ЮЛ или ИП)
Зависимость частоты и подробности проверок от категории риска
Как и в случае с иными типами проверок по Закону № 248-ФЗ, предусмотрены высокий, значительный, средний, умеренный и низкий риски. В Приложении к Положению приведены критерии отнесения предприятий к той или иной категории риска. В числе ключевых критериев — соответствие вида деятельности фирмы одной из групп тяжести потенциального нарушения требований — А, Б, В или Г, а также группе вероятности нарушения требований — 1, 2, 3 или 4.
Как следует из Приложения, самые строгие проверки будут проводиться в отношении фирм с группой тяжестью А и вероятностью 1, наименее строгие — к фирмам с тяжестью Г и вероятностью 4. Профилактическое мероприятие в виде обязательного профилактического визита проводится с учетом положений ст. 52 Закона № 248-ФЗ в отношении объектов контроля с высоким и значительным риском (п. 30 Положения).
Частота плановых контрольно-надзорных мероприятий в зависимости от категории риска определена положениями п. 12 Положения по постановлению № 1046. Например, по высокому риску частота инспекционного визита или выездной проверки — 1 раз в 2 года. По умеренному возможны документарная или выездная проверка с частотой 1 раз в 6 лет. При низком риске плановые мероприятия не проводятся. Чуть позже мы рассмотрим подробнее сроки проведения каждого типа контрольно-надзорных и профилактических мероприятий.
Плановые мероприятия, предусматривающие взаимодействие Роскомнадзора и проверяемого лица, согласуются с Прокуратурой (п. 38 Положения). Есть также мероприятия без взаимодействия — если они плановые, то с Прокуратурой их согласовывать не нужно. О них также чуть позже.
В отношении, в свою очередь, внеплановых проверок предусмотрены специальные индикаторы риска, установленные приказом Минцифры России от 15.11.2021 № 1187. Они используются при принятии решения о проведении и выборе вида внепланового контрольного (надзорного) мероприятия (ч. 9, 10 ст. 23 Закона № 248-ФЗ). Соответствующих индикаторов два:
- установление Роскомнадзором в течение года 10 и более фактов несоответствия сведений, предоставленных фирмой по запросу в ведомство;
- установление Роскомнадзором в течение года 10 и более актов предоставления неограниченному кругу лиц доступа к базам ПД или распространения таких баз данных через интернет.
Уведомление оператора персональных данных
Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:
- уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
- уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
- персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).
Положение о порядке обработки персональных данных необходимо
Трудовая инспекция выдала обществу предписание устранить нарушения трудовых прав работников.
Среди них – принять локальный акт, устанавливающий порядок обработки персональных данных сотрудников предприятия.
Общество оспорило предписание, сославшись на то, что вывод о нарушении трудовых прав работников является надуманным. В организации числится лишь один работник, и он же является директором ООО. Выходит, что трудовая инспекция одновременно и защищает права работника, и привлекает его же к ответственности, что недопустимо.
Суд не внял этому аргументу и решил, что в соответствии со ст. 86‒88 ТК РФ у каждого работодателя должен иметься локальный нормативный акт о порядке обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Поэтому у государственного инспектора труда имелись основания для выдачи предписания.
Данные клиентов из Интернета можно использовать без уведомления Роскомнадзора
Роскомнадзор провел проверку в компании, выявил несколько нарушений при работе с персданными и выдал предписание об устранении нарушений.
Компания оспорила это предписание и выиграла суд по всем пунктам.
Почему – читайте в таблице.
ТАБЛИЦА: «Пять законных способов работы с персданными»
Действия компании по работе с персональными данными | Позиция Роскомнадзора | Позиция компании и судов |
При оформлении заказа на сайте интернет-магазина клиенты указывают свои персданные, необходимые для доставки заказа. Данные сведения компания обрабатывает в информационной системе «1С:Предприятия (Магазины)» |
Компания обязана уведомлять Роскомнадзор об обработке персональных данных такими способами, поскольку она проводится с использованием информационных систем. Поэтому не подпадает под исключения, предусмотренные ч. 2 ст. 22 закона о персональных данных |
Частью 2 ст. 22 закона о персданных № 152-ФЗ прямо предусмотрен перечень из 9 случаев, когда фирма освобождается от обязанности представлять в Роскомнадзор уведомление об обработке персданных. Одним из таких случаев (п. 2) является обработка личных данных, полученных оператором в связи с заключением договора, стороной которого является субъект этих данных, если они не распространяются и не предоставляются третьим лицам без согласия субъекта и используются только оператором. Способ, которым обрабатываются персданные, – без использования средств автоматизации или с использованием информационных систем – не имеет правового значения. Поэтому в силу п. 1 ч. 2 ст. 22 закона № 152-ФЗ о персданных уведомлять Роскомнадзор в данном случае не требуется |
Используется система «1С:Зарплата и управление персоналом 8» |
Указанные системы используются компанией в рамках трудовых договоров, заключенных с работниками. При этом абз. 17 ст. 22 ТК РФ закреплена обязанность работодателя выплачивать работникам зарплату в полном размере и в установленные сроки. Статья 91 ТК РФ обязывает работодателя вести учет времени, отработанного каждым сотрудником. Таким образом, использование указанных систем подпадает под исключение, предусмотренное п. 1 ч. 2 ст. 22 закона о персональных данных, то есть обработка таких данных осуществляется в соответствии с трудовым законодательством |
|
Используется система БСУВ «Биометрическая система учета времени» |
||
В ходе подбора персонала компания размещает вакансии на сайтах в сети Интернет, а полученные резюме в электронном виде хранит на рабочих компьютерах в отделе подбора персонала |
Компания обязана уведомлять Роскомнадзор об обработке персданных таким способом, так как работа по подбору персонала не регулируется трудовым законодательством. В связи с этим обработка личных данных не подпадает под исключения ч. 2 ст. 22 закона о персданных |
Трудовые и иные непосредственно связанные с ними отношения регулируются не только кодексом, но и другими нормативными актами (ст. 5 ТК РФ). Правоотношения между кандидатом и будущим работником регулируются законом о занятости населения. Из него следует, что работодатели должны содействовать проведению госполитики занятости населения, оказывая помощь в трудоустройстве. При этом они вправе принимать на работу граждан, непосредственно обратившихся к ним, на равных основаниях с теми, кто имеет направление органов службы занятости (ч. 1, ч. 3.1 ст. 25, ч. 1 ст. 26). Таким образом, работодатель вправе обрабатывать персданные кандидатов на вакансии и сохранять их резюме, как в бумажном, так и в электронном виде, формируя базу соискателей при наличии письменного согласия кандидатов |
Процедура инспекции зависит от ее типа, основными являются следующие:
- Плановые. В конце года составляется график проведения инспекций на следующий период, и эта информация публикуется на официальном сайте уполномоченного органа. За три дня до начала инспекции проверяемая организация предупреждается лично или письмом.
- Внеплановые. Такие мероприятия осуществляются после поступивших жалоб. В зависимости от степени серьезности нарушения о визите инспекторов могут сообщить за сутки или вовсе не предупредить.
- Документарные. Контролирующий орган запрашивает необходимые документы, которые руководитель предприятия обязан предоставить в определенные сроки.
- Выездные. Территория организации осматривается сотрудниками уполномоченного органа.
Такие инспекции могут проводиться как Роскомнадзором, так и ФСБ.
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Особенности подготовки к проверке
Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.
Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:
- Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
- Проверка соответствия деятельности информации, прописанной в едином реестре.
- Назначение лица, ответственного за работу с ПД.
- Составление Политики фирмы в отношении обработки ПД.
- Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
- Проверка правильности хранения документов, ограниченности доступа к ним.
- Проверка системы безопасности: наличие замков и сейфов.
Для подготовки бумаг можно использовать специальные онлайн-сервисы.
Провеки Государственной инспекции труда
В Трудовом Кодексе РФ 14 глава называется: «Защита персональных данных работника». Государственная инспекция труда проводит контрольно-надзорные мероприятия по поводу выполнения требований всего Трудового кодекса и, соответственно, не может обойти стороной главу 14. На проверках обращают внимание на требование пункта 8 статьи 86: «работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области». Таким образом, проверяют наличие такого документа и факт ознакомления с ним всех работников.
Административная ответственность за нарушение этих требований предусмотрена статьей 5.27. КоАП — штраф в размере от 30 000 до 50 000 рублей.