Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как проводится проверка Роскомнадзора». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
В соответствие с Положением о Роскомнадзоре (постановление Правительства №228 от 16.03.2009 года), Служба осуществляет контроль и надзор деятельности операторов персональных данных в части выполнения ними требований действующего законодательства.
Кого проверяет Роскомнадзор
Оператор персональных данных (ОПД) – любая организация, ИП, физлицо, федеральных или муниципальный орган власти, который каким-либо образом взаимодействует с личной (персональной) информацией третьих лиц.
В состав персональной информации включаются:
- паспортные данные;
- ИНН;
- место проживания;
- информация о составе семьи;
- данные о фактическом местонахождении;
- банковские реквизиты;
- личная информация из автобиографии.
Таким образом, Роскомнадзор вправе проверить:
- любого работодателя, который консолидирует личную информацию о сотрудниках;
- компанию сферы ИТ, которая занимается обработкой персональных данных пользователя;
- фирму, которая собирает заявки от клиентов путем анкетирования (в том числе через интернет-сайт или электронную почту).
Порядком предусмотрено проведение Роскомнадзором как плановых, так и внеплановых проверок. Плановые проверки осуществляются согласно утвержденному графику. Внеплановые проверки могут проводится на основании жалоб, поступивших в Роскомнадзор в части нарушения ОПД требований действующего законодательства.
Как проверяет Роскомнадзор?
Существуют плановые и внеплановые проверки, которые проводятся как в отношении тех организаций, которые включены в реестр Роскомнадзора, так и тех, что не включены. Плановые проверки более безобидные, так как о том, что вас проверят, оповестят заранее (не позднее чем за три дня), а по внеплановым проверкам — всего за 24 часа. Роскомнадзор в конце каждого года публикует на своем сайте план проверок на следующий календарный год и проверяет в соответствии с ним.
Для организации все начинается с уведомления, которое приходит по почте России. В нем Роскомнадзор уведомляет о намерении проверить и кратко сообщает, что именно будет проверять. Также в уведомлении сообщается состав проверочной комиссии, дата и срок выездной проверки. Срок проверки обычно составляет 20 рабочих дней, но это не значит, что все 20 дней у вас будет сидеть комиссия, а говорит лишь о дедлайне проверки. Комиссия, как правило, приезжает всего 2-3 раза: первый раз — запросить документы, второй раз — забрать документы и третий раз — выдать акт о проверке с замечаниями и предписанием на устранение нарушений. Нередко сразу выписываются протоколы об административных правонарушениях.
По факту объем запрашиваемых документов и методика самой проверки сильно варьируются в зависимости от того или иного территориального управления Роскомнадзора.
Кратко порядок проверки выглядит так:
- Уведомление оператора о проведении плановой проверки путем направления копии приказа руководителя Роскомнадзора о проверке почтой России. Уведомление должно поступить оператору не позднее трех рабочих дней до начала ее проверки (при плановой проверке), что очень мало, чтобы успеть к ней подготовиться.
- Далее в указанный в уведомлении день проверки приезжает комиссия, как правило, в составе 2-3 человек для осуществления государственного контроля.
- На месте проверки комиссия запрашивает и рассматривает документы, имеющиеся у оператора «под рукой», и выдает список документов для предоставления оператором до окончания срока проверки. Непредоставление оператором запрошенных документов расценивается как несоответствие требованию закона, и выписывается штраф, а также предписание на устранение нарушений.
- По результатам рассмотрения представленных оператором к проверке документов Роскомнадзор составляет акт проверки, предписание об устранении выявленных нарушений, а также протоколы об административных нарушениях в отношении оператора.
- По окончании срока предписания об устранении выявленных нарушений назначается повторная внеплановая проверка. В случае неустранения нарушений деятельность организации приостанавливается.
Что делать перед документальной проверкой
Расскажем на примере проверки Роскомнадзора.
В организацию приходит письмо от местного управления Роскомнадзора с запросом документов, как правило, из числа перечисленных выше.
В письме указывается срок, к которому они должны оказаться у регулятора. По закону на подготовку и отправку этих бумаг дается не менее трех дней, в реальности обычно предупреждают за неделю или две. Поэтому, если вы уже подготовили набор документов, то у вас останется время, чтобы все перепроверить. А вот успеть с нуля — тот еще челлендж, порой заведомо невыполнимый.
Регулятору передаются копии документов в первозданном виде без изъятий и цензуры. Их необходимо заверить печатью организации и подписью руководителя или его представителя. Электронные копии подписываются квалифицированной электронной подписью.
Роскомнадзор рассматривает полученные материалы, и при необходимости запрашивает пояснения, также в письменном виде, на бумаге или в электронной форме. Если пояснения не предоставлены за три для или недостаточно убедительны, назначается выездная проверка.
Минус документальной проверки в том, что вся коммуникация происходит на бумаге, и порой возникают ситуации, когда регулятор чего-то не находит в пакете документов или не учитывает какие-то детали даже после прочтения пояснений. В процессе выездной проверки с инспекторами проще найти общий язык.
Проверка Роскомнадзора – что проверяют, как подготовиться, виды проверок
Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки.
Результат проверки можно обжаловать. Сделать это можно как письменно, так и устно (например, в ходе личного приема или по телефону – подробности можно найти на сайте территориального органа Роскомнадзора). Рассматривается жалоба в течение месяца.
Выездная проверка может длиться 20 дней, и еще на 20 суток она может быть продлена. Итог проверки – акт, который, при наличии нарушений, включает в себя предписания по их устранению. Также устанавливаются сроки для исправления ошибок. Результат проверки всегда можно обжаловать.
Генпрокуратура собирается тщательнее следить за соблюдением трудового законодательства в российских организациях. Из проекта приказа следует, что сотрудники прокуратуры теперь будут проверять в порядке Уголовно-процессуального кодекса РФ все поступившие сообщения о:
Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.
- проверьте условия хранения документов с персональными данными (наличие сейфов, изолированных помещений с ограниченным доступом);
- проконтролируйте соблюдение установленных требований сотрудниками, которые, согласно должностным инструкциям, работают с персональными данными;
- с помощью ответственного сотрудника ИТ-службы проанализируйте безопасность хранения персональных данных в электронных базах, а также корректность их сбора на сайте либо через электронную почту.
К наиболее часто встречающимся недочетам, которые обнаруживаются при проверке оператора, можно отнести:
— отсутствие любых средств защиты информации;
— недостаточный уровень знаний специалистов, отвечающих за информационную безопасность;
— отсутствие сертификатов на используемые средства защиты или завершение их срока действия сертификат;
— некорректное использование средств защиты информации, неправильную их настройку или не использование, несмотря на их наличие;
— отсутствие аттестации у государственной информационной системы;
— некорректно составленную модель угроз и нарушителей;
— отсутствие нормативной документации и формуляров;
— игнорирование факта проведения запланированных мероприятий по защите информации;
— низкий уровень физической защиты технических средств.
Роскомнадзор: что проверяет и на что обращает внимание
Мероприятия по охране труда: план на предприятии
В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.
При плановой ревизии важно:
- какие именно данные обрабатывает компания;
- кто отвечает за обработку;
- где можно ознакомиться с политикой компании (в том числе на сайте);
- кому передаются данные;
- как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
- как хранятся документы, и как контролируется доступ в этих помещениях;
- насколько всё перечисленное соответствует заявленному в документах.
Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.
Подготовка по требованиям 152-ФЗ и подготовка к проверке Роскомнадзора: отличия
Глобальная проблема состоят в том, что закон не устанавливает точный перечень организационно-распорядительной документации, которую требуется разработать для соответствия закону и тем более перечень документов, которые запрашиваются на проверке. Роскомнадзор, как и любой другой регулятор, имеет право запросить не только конкретные документы, но и сведения, которые должны быть оформлены в виде справок от организации (в бумажном виде). Поэтому пакет документов для соответствия требованиям закона (около 40 документов) и пакет документов для прохождения проверки Роскомнадзора (плюс еще около 20 документов) отличаются, т.е. пакет для прохождения проверки более полный (итого около 60 документов).
Также нужно учесть, что в зависимости от территориального органа состав запрашиваемых документов может разниться.
Даже в зависимости от проверяющих требования отличаются («человеческий фактор»). По итогу, не имея опыта прохождения проверки Роскомнадзора, без обращения к компетентной организации – пройти проверку практически невозможно.
Основы общероссийского генерального плана проверок
Этот план составляется с целью информирования субъектов бизнеса о проводимых в 2023 году контрольных мероприятиях. Учитывая то, что на 2022 год был введён мораторий на всевозможные проверки, то такое информирование позволит предпринимателям более детально подготовиться к проводимым действиям государственных органов.
Мероприятия проверочного плана могут проводить различные государственные органы:
- Государственная инспекция труда РФ;
- органы лицензирования;
- Федеральная антимонопольная служба РФ;
- Управление МЧС РФ;
- органы Роспотребнадзора;
- и многие другие, всего в законодательстве отражены 40 контролирующих органов в Российской Федерации.
Прокуратурой РФ составляется сводный график мероприятий, с учётом данных всех проверяющих организаций.
В плане на 2023 год чётко определяются параметры проводимых проверок:
- субъекты проверки;
- время проведения проверки;
- место проведения проверки;
- направленность проверки
Проверяющие и контролирующие органы должны неукоснительно исполнять все указанные в графике требования. Отступления от них, а также незаявленные проверки недопустимы.
Как грамотно и успешно подготовиться к проверке Роскомнадзора
Роскомнадзор является федеральной службой, в полномочия которой входит контроль над организациями в вопросах массовых коммуникаций, связи и информационных технологий. Надзор осуществляется путем проведения проверок по организационным моментам — как плановых, так и внеплановых. Основанием для такой деятельности является Федеральный закон N 294-ФЗ.
По отношению к каждой организации, деятельность которой лежит в сфере обработки индивидуальных данных, проводится обязательная проверка Роскомнадзора.
Такое предприятие попадает в поле зрения этой службы не чаще одного раза в три года. Поэтому каждый руководитель, зная дату последнего визита проверяющих, может понять, как скоро им предстоит опять встретится.
Роскомнадзор: чтобы не застали врасплох
Подготовка к приходу инспекторов достаточно трудоемкая.
Личные сведения персонала или клиентов не имеют материального выражения, физической оболочки. Любой другой документ можно просто положить в сейф, но в этом случае работодатель должен убедить инспекторов в том, что личные данные хранятся и охраняются надежно.
Все вышеперечисленные локальные акты должны находиться в одной папке. Это основной этап подготовки.
Крупные компании вводят в штатное расписание должностную единицу, в обязанность которой вменяется контроль над сбором и хранением всего пакета документов. Она же занимается качеством информационных систем и степенью их защиты. Собственно, этому человеку и поручается подготовка к проверке.
Для работодателя это особая статья в бюджете, поскольку услуги такого специалиста оцениваются очень дорого.
Если компания не может позволить себе такую штатную единицу, то приглашаются сторонние эксперты. За определенное вознаграждение они систематизируют все данные и приводят в порядок документы.
Наконец, подготовку можно выполнить своими силами.
Советы предпринимателям
Во время проверки:
- Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
- Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
- Не паникуйте;
- Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
- Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
- Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
- Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.
Порядок истребования документов у организаций и ИП
Согласно ч. 1 ст. 14 закона № 294 обязательным условием для начала проверки является издание руководством территориального органа Роскомнадзора соответствующего приказа. Перечень требований к данному приказу обозначен в ч. 2 ст. 14 закона № 294. В приказе о проведении проверки должен быть указан исчерпывающий перечень документов, которые организации нужно представить для достижения цели проверки.
Для справки! В законодательстве нет конкретного перечня документов, которые вправе истребовать проверяющие сотрудники Роскомнадзора, или ограничений по истребованию отдельных видов документов. Поэтому в рамках проверки может быть запрошен любой документ (кроме уже имеющихся в Роскомнадзоре), но только в пределах проверяемых Роскомнадзором направлений.
В то же время порядок истребования документов установлен достаточно подробно и выглядит он следующим образом:
- согласно чч. 4 и 5 ст. 11 закона № 294 Роскомнадзор должен направить в проверяемую организацию письменный запрос и копию приказа о проведении проверки с указанием списка всех необходимых документов;
- после получения такого запроса организация должна в течение 10 дней направить заверенные ее руководителем копии указанных документов.
Частый гость по персональным данным
В связи с тем, что наиболее частыми являются проверки со стороны Роскомнадзора, рассмотрим более детально именно это направление.
Проверка проводится в отношении документов и локальных актов оператора персональных данных, указанных в ст. 18.1. Федерального закона «О персональных данных» от 27.07.2006 N 152- ФЗ., а также в отношении деятельности оператора и информационных систем персональных данных оператора, касающихся обработки.
Проверка Роскомнадзора может быть как плановая, так и внеплановая. Проверить, есть ли Организация в плане Роскомнадзора на проверку в текущем году, можно на сайте ведомства . Срок проведения плановой проверки не может превышать 20 рабочих дней, но может быть продлена еще на 20 дней.
Как показывает практика, процент проведения внеплановых проверок растет, о проверке нельзя узнать с достаточным запасом времени, как следствие, нельзя должным образом подготовиться. Срок проведения внеплановой проверки не может превышать 10 рабочих дней, однако может быть продлена еще на 10 дней. Решение о проведение внеплановой проверки может быть принято, если, например, на Организацию поступали жалобы со стороны субъектов ПДн.