Роскомнадзор (проверки законности обработки персональных данных)

      Комментариев к записи Роскомнадзор (проверки законности обработки персональных данных) нет

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Роскомнадзор (проверки законности обработки персональных данных)». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Что проверяет Роскомнадзор
2. Что такое персональные данные
3. Виды проверок соблюдения законодательства о персональных данных
4. Зависимость частоты и подробности проверок от категории риска
5. Какие документы по ПД должны быть в организации
6. Что работодатель должен и не должен знать о работнике
7. Данные клиентов из Интернета можно использовать без уведомления Роскомнадзора
8. Что такое персональные данные
9. Разновидности проверок
10. Как проверить актуальность персональных данных сотрудников
11. Роскомнадзор: что проверяет и на что обращает внимание
12. Как проходит проверка Роскомнадзора по защите персональных данных
13. Что требует проверяющий
14. Лайфхак по успешному прохождению проверки Роскомнадзора

Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.

Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.

В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.

Что проверяет Роскомнадзор

Стоит выделить несколько ключевых вопросов, которые во время аудита обращают на себя внимание контролирующего органа:

  • Наличие Уведомления об обработке персональных данных и соответствие указанной в нем информации. Роскомнадзор отслеживает актуальность Уведомления, поэтому в случае смены цели обработки персональных данных или ответственного лица необходимо предупреждать федеральную службу.

  • Соответствие документа о защите персональных данных требованиям законодательства. Их достаточно много: в организации должны регулярно проводиться внутренние мероприятия по проверке и защите персональных данных, данные должны уничтожаться по достижении цели их получения и обработки, а доступ к помещениям и носителям информации должен быть контролируемым. Причем все эти действия должны быть подкреплены документально.

  • Соответствие формы согласия на обработку персональных данных.

  • Наличие разрешения на обработку специальных категорий персональных данных.

  • Соблюдение условий Положения о локализации хранения персональных данных.

  • Осведомленность сотрудников о положениях законодательства РФ о работе с персональными данными и локальными актами организации.

Что такое персональные данные

Закон от 27.07.2006 № 152-ФЗ «О персональных данных» относит к ним любую личную информацию о физическом лице. Но конкретных указаний, какие сведения нужно считать личными, он не дает.

Роскомнадзор в Методических рекомендациях, утвержденных приказом от 30.05.2017 №94 разъясняет, что к персональным данным относятся в частности:

  • паспортные данные: ФИО, дата и место рождения, адрес регистрации;

  • социальное и семейное положение;

  • имущество и размер дохода;

  • образование и профессия;

  • национальность, религия, политические взгляды;

  • биометрические данные, которые позволяют установить личность.

Но список не ограничен информацией в приказе №94. К личным данным относят и другие сведения, позволяющие идентифицировать человека. Например, номер телефона, если он принадлежит конкретному физическому лицу, заключившему договор с оператором связи.

Адрес электронной почты можно отнести к персональным данным, только если он включает в себя личную информацию, например: ФИО или дату рождения — например, адрес вида [email protected].

Все юридические и физические лица, которые собирают и обрабатывают личную информацию, называются операторами персональных данных. Их деятельность в этой области контролирует Роскомнадзор.

Виды проверок соблюдения законодательства о персональных данных

Ключевые моменты в положении о проверках, которые нужно учитывать предприятиям:

  1. Роскомнадзор проверяет две ключевые составляющие деятельности операторов ПД (п. 7 Положения по постановлению № 1046):
  • деятельность по обработке персональных данных самого оператора и третьих лиц, которые выполняют его поручения;
  • результаты деятельности оператора по разработке документов и локальных нормативов, направленных на обеспечение требований по ч. 1 ст. 18.1 Закона № 152-ФЗ.
  1. Предусмотрены профилактические мероприятия (п. 13 Положения), контрольно-надзорные мероприятия (п. 42 Положения).

Указанная классификация основана на перечнях профилактических и контрольно-надзорных мероприятий, приведенных, соответственно, в ст. 45 и 56 Закона № 248-ФЗ. Профилактические мероприятия — это «мягкие» варианты взаимодействия регулятора и контролируемого лица, контрольно-надзорные — более «строгие». Возможно, что по итогам профилактического мероприятия будет начато контрольно-надзорное (ч. 4 ст. 45 Закона № 248-ФЗ).

  1. Частота и типы профилактических и контрольно-надзорных мероприятий привязаны к категории риска, присвоенной хозяйствующему субъекту (п. 10 Положения).
Читайте также:  Как в 2023 году из садового дома перевести в жилой

Зависимость частоты и подробности проверок от категории риска

Как и в случае с иными типами проверок по Закону № 248-ФЗ, предусмотрены высокий, значительный, средний, умеренный и низкий риски. В Приложении к Положению приведены критерии отнесения предприятий к той или иной категории риска. В числе ключевых критериев — соответствие вида деятельности фирмы одной из групп тяжести потенциального нарушения требований — А, Б, В или Г, а также группе вероятности нарушения требований — 1, 2, 3 или 4.

Как следует из Приложения, самые строгие проверки будут проводиться в отношении фирм с группой тяжестью А и вероятностью 1, наименее строгие — к фирмам с тяжестью Г и вероятностью 4. Профилактическое мероприятие в виде обязательного профилактического визита проводится с учетом положений ст. 52 Закона № 248-ФЗ в отношении объектов контроля с высоким и значительным риском (п. 30 Положения).

Частота плановых контрольно-надзорных мероприятий в зависимости от категории риска определена положениями п. 12 Положения по постановлению № 1046. Например, по высокому риску частота инспекционного визита или выездной проверки — 1 раз в 2 года. По умеренному возможны документарная или выездная проверка с частотой 1 раз в 6 лет. При низком риске плановые мероприятия не проводятся. Чуть позже мы рассмотрим подробнее сроки проведения каждого типа контрольно-надзорных и профилактических мероприятий.

Плановые мероприятия, предусматривающие взаимодействие Роскомнадзора и проверяемого лица, согласуются с Прокуратурой (п. 38 Положения). Есть также мероприятия без взаимодействия — если они плановые, то с Прокуратурой их согласовывать не нужно. О них также чуть позже.

В отношении, в свою очередь, внеплановых проверок предусмотрены специальные индикаторы риска, установленные приказом Минцифры России от 15.11.2021 № 1187. Они используются при принятии решения о проведении и выборе вида внепланового контрольного (надзорного) мероприятия (ч. 9, 10 ст. 23 Закона № 248-ФЗ). Соответствующих индикаторов два:

  • установление Роскомнадзором в течение года 10 и более фактов несоответствия сведений, предоставленных фирмой по запросу в ведомство;
  • установление Роскомнадзором в течение года 10 и более актов предоставления неограниченному кругу лиц доступа к базам ПД или распространения таких баз данных через интернет.

Какие документы по ПД должны быть в организации

Каждая организация обязана иметь перечень документов по персональным данным для Роскомнадзора и других контролирующих органов, куда входят:

  • уведомление Роскомнадзора об обработке персданных и об изменении информации, переданной в ранее направленных уведомлениях;
  • приказ, в соответствии с которым назначается сотрудник, отвечающий за работу с персональными данными в организации;
  • согласие сотрудников на обрабатывание их ПД;
  • политика обрабатывания и защиты персональных данных в организации;
  • положение о принятых мерах защиты ПД;
  • регламент допуска лиц, работающих с персональными данными;
  • список лиц, которым требуется допуск к персональным данным, которые проходят обработку в информационной системе;
  • обязательство не разглашать персданные;
  • правила и план внутреннего контроля соответствия обработки ПД;
  • акт уничтожения персональных данных;
  • акт, оценивающий вероятный вред, который может быть причинен субъектам ПД;
  • уведомление Роскомнадзора о передаче данных трансграничным способом.

Что работодатель должен и не должен знать о работнике

В Трудовом кодексе РФ нет конкретного перечня сведений, относящихся к персональным данным работника. Равно как и нет его и в Законе «О персональных данных». В этом документе есть только их Определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Соответственно, в законодательстве отсутствует список сведений, которые работодатель вправе собирать и хранить в отношении каждого работника.

Вместе с тем в ст. 65 ТК РФ приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу. По этим документам можно понять, какие сведения о работниках компания получает, и соответственно, имеет право обрабатывать, а каких сведений в ее распоряжении оказаться не должно.

Что у компании должно быть

Итак, при приеме на работу работодатель получает персональные данные работника, а именно:

  • Ф.И.О., возраст, место жительства, семейное положение (из паспорта);
  • трудовой стаж и предыдущие места работы (из трудовой книжки);
  • регистрация в органах ПФР (из карточки СНИЛС);
  • отношение работника к воинскому учету (из документов воинского учета);
  • образование и квалификация (из дипломов, аттестатов, свидетельств об образовании);
  • судимость (из справки о ее наличии или отсутствии);
  • употребление наркотиков (из справки, подтверждающей или опровергающей этот факт).

Данные клиентов из Интернета можно использовать без уведомления Роскомнадзора

Роскомнадзор провел проверку в компании, выявил несколько нарушений при работе с персданными и выдал предписание об устранении нарушений.
Компания оспорила это предписание и выиграла суд по всем пунктам.
Почему – читайте в таблице.

Читайте также:  Смена директора ООО в 2023 году без нотариуса

ТАБЛИЦА: «Пять законных способов работы с персданными»

Действия компании по работе с персональными данными Позиция Роскомнадзора Позиция компании и судов

При оформлении заказа на сайте интернет-магазина клиенты указывают свои персданные, необходимые для доставки заказа.

Данные сведения компания обрабатывает в информационной системе «1С:Предприятия (Магазины)»

Компания обязана уведомлять Роскомнадзор об обработке

персональных данных такими способами, поскольку она проводится с использованием информационных систем. Поэтому не подпадает под исключения, предусмотренные ч. 2

ст. 22 закона о персональных данных

Частью 2 ст. 22 закона о персданных № 152-ФЗ прямо предусмотрен перечень из 9 случаев, когда фирма освобождается от обязанности представлять в Роскомнадзор уведомление об обработке персданных.

Одним из таких случаев (п. 2) является обработка личных данных, полученных оператором в связи с заключением договора, стороной которого является субъект этих данных, если они не распространяются и не предоставляются третьим лицам без согласия субъекта и используются только оператором.

Способ, которым обрабатываются персданные, – без использования средств автоматизации или с использованием информационных систем – не имеет правового значения.

Поэтому в силу п. 1 ч. 2 ст. 22 закона № 152-ФЗ о персданных уведомлять Роскомнадзор в данном случае не требуется

Используется система «1С:Зарплата и управление персоналом 8»

Указанные системы используются компанией в рамках трудовых договоров, заключенных с работниками.

При этом абз. 17 ст. 22 ТК РФ закреплена обязанность работодателя выплачивать работникам зарплату в полном размере и в установленные сроки.

Статья 91 ТК РФ обязывает работодателя вести учет времени, отработанного каждым сотрудником.

Таким образом, использование указанных систем подпадает под исключение, предусмотренное п. 1 ч. 2 ст. 22 закона о персональных данных, то есть обработка таких данных осуществляется в соответствии с трудовым законодательством

Используется система БСУВ «Биометрическая система учета времени»
В ходе подбора персонала компания размещает вакансии на сайтах в сети Интернет, а полученные резюме в электронном виде хранит на рабочих компьютерах в отделе подбора персонала

Компания обязана уведомлять Роскомнадзор об обработке

персданных таким способом, так как работа по подбору персонала не регулируется трудовым законодательством.

В связи с этим обработка личных данных не подпадает под исключения ч. 2 ст. 22 закона о персданных

Трудовые и иные непосредственно связанные с ними отношения регулируются не только кодексом, но и другими нормативными актами (ст. 5 ТК РФ).

Правоотношения между кандидатом и будущим работником регулируются законом о занятости населения.

Из него следует, что работодатели должны содействовать проведению госполитики занятости населения, оказывая помощь в трудоустройстве. При этом они вправе принимать на работу граждан, непосредственно обратившихся к ним, на равных основаниях с теми, кто имеет направление органов службы занятости (ч. 1, ч. 3.1 ст. 25, ч. 1 ст. 26).

Таким образом, работодатель вправе обрабатывать персданные кандидатов на вакансии и сохранять их резюме, как в бумажном, так и в электронном виде, формируя базу соискателей при наличии письменного согласия кандидатов

Что такое персональные данные

Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.

Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.

Важно! Если согласия нет, могут последовать наказания – штрафы, блокировка сайта, приостановка работы, отзыв лицензии.

Разновидности проверок

Роскомнадзор осуществляет следующие формы проверок:

  • Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
  • Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
  • Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
  • Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.

Как проверить актуальность персональных данных сотрудников

Дата публикации: 09.10.2017 10:13 (архив)

Читайте также:  Административная ответственность арбитражных управляющих

Начиная с 1 января 2021 года полномочия по администрированию страховых взносов возложены на налоговые органы. Расчет по страховым взносам в 2021 году нужно представлять в налоговую инспекцию один раз в квартал — не позднее 30-го числа месяца, следующего за отчетным периодом (п. 7 ст. 431 Налогового кодекса РФ).

Исходя из положений п. 7 ст. 431 Налогового кодекса РФ расчет по страховым взносам считается непредставленным, если:

  • совокупная сумма взносов на пенсионное страхование, исчисленных с выплат в рамках предельной величины базы, за каждый из последних трех месяцев отчетного (расчетного) периода в целом по организации не совпадает с начисленной суммой взносов по каждому работнику;
  • указаны недостоверные персональные данные, идентифицирующие застрахованных физических лиц.

В этом случае плательщику не позднее дня, следующего за днем получения расчета в электронной форме (10 дней, следующих за днем получения расчета на бумажном носителе), направляется соответствующее уведомление.

Роскомнадзор: что проверяет и на что обращает внимание

Мероприятия по охране труда: план на предприятии

В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.

При плановой ревизии важно:

  • какие именно данные обрабатывает компания;
  • кто отвечает за обработку;
  • где можно ознакомиться с политикой компании (в том числе на сайте);
  • кому передаются данные;
  • как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
  • как хранятся документы, и как контролируется доступ в этих помещениях;
  • насколько всё перечисленное соответствует заявленному в документах.

Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.

Как проходит проверка Роскомнадзора по защите персональных данных

Программа предусматривает поэтапное взаимодействие:

  • предприятие получает уведомление (при плановой проверке – за 3 дня, при внеплановой – за сутки), в нём указывается дата проведения и номер приказа;
  • при документарной проверке (только плановой) высылается запрос и перечень документов, которые нужно представить. Руководитель высылает копии, заверенные своей подписью;
  • при выездной проверке (плановой или внеплановой, может следовать за документарной, если выявлены недочёты) приезжают два инспектора, которые проверяют соответствие документов реальному положению дел;
  • контролирующий орган выносит решение и даёт предписания;
  • предприятие выполняет предписания.

Важно! Если предписания выполнены в срок, предприятие продолжает свою деятельность без взысканий.

Что требует проверяющий

Административным регламентом №312 определена последовательность действий (административных процедур) Роскомнадзора и его территориальных органов.

В частности, предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных являются (п. 5 Административного регламента №312):

  • документы, характер информации в которых предполагает или допускает включение в них персональных данных (напр., личные дела работников)
  • информационные системы персональных данных (напр., правила ведения электронного документооборота в программе 1С)
  • деятельность по обработке персональных данных (напр., локальный нормативный акт о защите ПДР, согласие на обработку персональных данных и др.)

Общий перечень документов, подлежащих проверке, законодательно не определен.

Лайфхак по успешному прохождению проверки Роскомнадзора

Для успешного прохождения проверки Роскомнадзора необходимо учесть следующие основные моменты:

  1. Роскомнадзор проверят отдельно автоматизированную (в компьютерных системах) и не автоматизированную (бумажную) обработку персональных данных. Внутренние ОРД должны быть разработаны по обоим направлениям отдельно.
  2. Роскомнадзор на проверке запрашивает не все абсолютно договоры с контрагентами, а по определенным категориям (см. выше «Что проверяет Роскомнадзор?»). Поэтому стоит позаботиться о том, чтобы как минимум по 1-2 договору по каждому направлению у вас были идеальными (соответствовали требованию закона в части передачи права обработки и возложения обязанности по защите персональных данных) или имелись соответствующие дополнительные соглашения к данным договорам.
  3. Роскомнадзор при проведении проверки руководствуется административным регламентом по данной процедуре проверки, который размещен на официальном сайте Роскомнадзора. Рекомендуется с ним как следует ознакомиться перед прохождением проверки.
  4. Обязательно необходимо перед проверкой сделать самооценку по статьям 18.1 и 19 закона и оперативно разработать необходимые документы (см ниже «Какие документы запрашивает Роскомнадзор на проверке»).
  5. Роскомнадзор проверяет не только обработку персональных данных оператором, но и обработку персональных данных при организации пропускного режима и охраны территории оператора, даже если эту функцию выполняет внешняя организация.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *