Как проводится проверка Роскомнадзора

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как проводится проверка Роскомнадзора». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.


В соответствие с Положением о Роскомнадзоре (постановление Правительства №228 от 16.03.2009 года), Служба осуществляет контроль и надзор деятельности операторов персональных данных в части выполнения ними требований действующего законодательства.

Кого проверяет Роскомнадзор

Оператор персональных данных (ОПД) – любая организация, ИП, физлицо, федеральных или муниципальный орган власти, который каким-либо образом взаимодействует с личной (персональной) информацией третьих лиц.

В состав персональной информации включаются:

  • паспортные данные;
  • ИНН;
  • место проживания;
  • информация о составе семьи;
  • данные о фактическом местонахождении;
  • банковские реквизиты;
  • личная информация из автобиографии.

Таким образом, Роскомнадзор вправе проверить:

  • любого работодателя, который консолидирует личную информацию о сотрудниках;
  • компанию сферы ИТ, которая занимается обработкой персональных данных пользователя;
  • фирму, которая собирает заявки от клиентов путем анкетирования (в том числе через интернет-сайт или электронную почту).

Порядком предусмотрено проведение Роскомнадзором как плановых, так и внеплановых проверок. Плановые проверки осуществляются согласно утвержденному графику. Внеплановые проверки могут проводится на основании жалоб, поступивших в Роскомнадзор в части нарушения ОПД требований действующего законодательства.

Как проверяет Роскомнадзор?

Существуют плановые и внеплановые проверки, которые проводятся как в отношении тех организаций, которые включены в реестр Роскомнадзора, так и тех, что не включены. Плановые проверки более безобидные, так как о том, что вас проверят, оповестят заранее (не позднее чем за три дня), а по внеплановым проверкам — всего за 24 часа. Роскомнадзор в конце каждого года публикует на своем сайте план проверок на следующий календарный год и проверяет в соответствии с ним.

Для организации все начинается с уведомления, которое приходит по почте России. В нем Роскомнадзор уведомляет о намерении проверить и кратко сообщает, что именно будет проверять. Также в уведомлении сообщается состав проверочной комиссии, дата и срок выездной проверки. Срок проверки обычно составляет 20 рабочих дней, но это не значит, что все 20 дней у вас будет сидеть комиссия, а говорит лишь о дедлайне проверки. Комиссия, как правило, приезжает всего 2-3 раза: первый раз — запросить документы, второй раз — забрать документы и третий раз — выдать акт о проверке с замечаниями и предписанием на устранение нарушений. Нередко сразу выписываются протоколы об административных правонарушениях.

По факту объем запрашиваемых документов и методика самой проверки сильно варьируются в зависимости от того или иного территориального управления Роскомнадзора.

Кратко порядок проверки выглядит так:

  1. Уведомление оператора о проведении плановой проверки путем направления копии приказа руководителя Роскомнадзора о проверке почтой России. Уведомление должно поступить оператору не позднее трех рабочих дней до начала ее проверки (при плановой проверке), что очень мало, чтобы успеть к ней подготовиться.
  2. Далее в указанный в уведомлении день проверки приезжает комиссия, как правило, в составе 2-3 человек для осуществления государственного контроля.
  3. На месте проверки комиссия запрашивает и рассматривает документы, имеющиеся у оператора «под рукой», и выдает список документов для предоставления оператором до окончания срока проверки. Непредоставление оператором запрошенных документов расценивается как несоответствие требованию закона, и выписывается штраф, а также предписание на устранение нарушений.
  4. По результатам рассмотрения представленных оператором к проверке документов Роскомнадзор составляет акт проверки, предписание об устранении выявленных нарушений, а также протоколы об административных нарушениях в отношении оператора.
  5. По окончании срока предписания об устранении выявленных нарушений назначается повторная внеплановая проверка. В случае неустранения нарушений деятельность организации приостанавливается.
Читайте также:  Как в 2023 году самостоятельно рассчитать страховые взносы

Что делать перед документальной проверкой

Расскажем на примере проверки Роскомнадзора.

В организацию приходит письмо от местного управления Роскомнадзора с запросом документов, как правило, из числа перечисленных выше.

В письме указывается срок, к которому они должны оказаться у регулятора. По закону на подготовку и отправку этих бумаг дается не менее трех дней, в реальности обычно предупреждают за неделю или две. Поэтому, если вы уже подготовили набор документов, то у вас останется время, чтобы все перепроверить. А вот успеть с нуля — тот еще челлендж, порой заведомо невыполнимый.

Регулятору передаются копии документов в первозданном виде без изъятий и цензуры. Их необходимо заверить печатью организации и подписью руководителя или его представителя. Электронные копии подписываются квалифицированной электронной подписью.

Роскомнадзор рассматривает полученные материалы, и при необходимости запрашивает пояснения, также в письменном виде, на бумаге или в электронной форме. Если пояснения не предоставлены за три для или недостаточно убедительны, назначается выездная проверка.

Минус документальной проверки в том, что вся коммуникация происходит на бумаге, и порой возникают ситуации, когда регулятор чего-то не находит в пакете документов или не учитывает какие-то детали даже после прочтения пояснений. В процессе выездной проверки с инспекторами проще найти общий язык.

Проверка Роскомнадзора – что проверяют, как подготовиться, виды проверок

Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки.
Результат проверки можно обжаловать. Сделать это можно как письменно, так и устно (например, в ходе личного приема или по телефону – подробности можно найти на сайте территориального органа Роскомнадзора). Рассматривается жалоба в течение месяца.

Выездная проверка может длиться 20 дней, и еще на 20 суток она может быть продлена. Итог проверки – акт, который, при наличии нарушений, включает в себя предписания по их устранению. Также устанавливаются сроки для исправления ошибок. Результат проверки всегда можно обжаловать.

Генпрокуратура собирается тщательнее следить за соблюдением трудового законодательства в российских организациях. Из проекта приказа следует, что сотрудники прокуратуры теперь будут проверять в порядке Уголовно-процессуального кодекса РФ все поступившие сообщения о:

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

  • проверьте условия хранения документов с персональными данными (наличие сейфов, изолированных помещений с ограниченным доступом);
  • проконтролируйте соблюдение установленных требований сотрудниками, которые, согласно должностным инструкциям, работают с персональными данными;
  • с помощью ответственного сотрудника ИТ-службы проанализируйте безопасность хранения персональных данных в электронных базах, а также корректность их сбора на сайте либо через электронную почту.

К наиболее часто встречающимся недочетам, которые обнаруживаются при проверке оператора, можно отнести:

— отсутствие любых средств защиты информации;

— недостаточный уровень знаний специалистов, отвечающих за информационную безопасность;

— отсутствие сертификатов на используемые средства защиты или завершение их срока действия сертификат;

— некорректное использование средств защиты информации, неправильную их настройку или не использование, несмотря на их наличие;

— отсутствие аттестации у государственной информационной системы;

— некорректно составленную модель угроз и нарушителей;

— отсутствие нормативной документации и формуляров;

— игнорирование факта проведения запланированных мероприятий по защите информации;

— низкий уровень физической защиты технических средств.

Роскомнадзор: что проверяет и на что обращает внимание

Мероприятия по охране труда: план на предприятии

В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.

При плановой ревизии важно:

  • какие именно данные обрабатывает компания;
  • кто отвечает за обработку;
  • где можно ознакомиться с политикой компании (в том числе на сайте);
  • кому передаются данные;
  • как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
  • как хранятся документы, и как контролируется доступ в этих помещениях;
  • насколько всё перечисленное соответствует заявленному в документах.

Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.

Подготовка по требованиям 152-ФЗ и подготовка к проверке Роскомнадзора: отличия

Глобальная проблема состоят в том, что закон не устанавливает точный перечень организационно-распорядительной документации, которую требуется разработать для соответствия закону и тем более перечень документов, которые запрашиваются на проверке. Роскомнадзор, как и любой другой регулятор, имеет право запросить не только конкретные документы, но и сведения, которые должны быть оформлены в виде справок от организации (в бумажном виде). Поэтому пакет документов для соответствия требованиям закона (около 40 документов) и пакет документов для прохождения проверки Роскомнадзора (плюс еще около 20 документов) отличаются, т.е. пакет для прохождения проверки более полный (итого около 60 документов).

Также нужно учесть, что в зависимости от территориального органа состав запрашиваемых документов может разниться.

Даже в зависимости от проверяющих требования отличаются («человеческий фактор»). По итогу, не имея опыта прохождения проверки Роскомнадзора, без обращения к компетентной организации – пройти проверку практически невозможно.

Основы общероссийского генерального плана проверок

Этот план составляется с целью информирования субъектов бизнеса о проводимых в 2023 году контрольных мероприятиях. Учитывая то, что на 2022 год был введён мораторий на всевозможные проверки, то такое информирование позволит предпринимателям более детально подготовиться к проводимым действиям государственных органов.

Мероприятия проверочного плана могут проводить различные государственные органы:

  • Государственная инспекция труда РФ;
  • органы лицензирования;
  • Федеральная антимонопольная служба РФ;
  • Управление МЧС РФ;
  • органы Роспотребнадзора;
  • и многие другие, всего в законодательстве отражены 40 контролирующих органов в Российской Федерации.

Прокуратурой РФ составляется сводный график мероприятий, с учётом данных всех проверяющих организаций.

В плане на 2023 год чётко определяются параметры проводимых проверок:

  • субъекты проверки;
  • время проведения проверки;
  • место проведения проверки;
  • направленность проверки

Проверяющие и контролирующие органы должны неукоснительно исполнять все указанные в графике требования. Отступления от них, а также незаявленные проверки недопустимы.

Как грамотно и успешно подготовиться к проверке Роскомнадзора

Роскомнадзор является федеральной службой, в полномочия которой входит контроль над организациями в вопросах массовых коммуникаций, связи и информационных технологий. Надзор осуществляется путем проведения проверок по организационным моментам — как плановых, так и внеплановых. Основанием для такой деятельности является Федеральный закон N 294-ФЗ.

По отношению к каждой организации, деятельность которой лежит в сфере обработки индивидуальных данных, проводится обязательная проверка Роскомнадзора.

Такое предприятие попадает в поле зрения этой службы не чаще одного раза в три года. Поэтому каждый руководитель, зная дату последнего визита проверяющих, может понять, как скоро им предстоит опять встретится.

Роскомнадзор: чтобы не застали врасплох

Подготовка к приходу инспекторов достаточно трудоемкая.

Личные сведения персонала или клиентов не имеют материального выражения, физической оболочки. Любой другой документ можно просто положить в сейф, но в этом случае работодатель должен убедить инспекторов в том, что личные данные хранятся и охраняются надежно.

Читайте также:  Повышение ЕДВ ветеранам боевых действий в 2023 году

Все вышеперечисленные локальные акты должны находиться в одной папке. Это основной этап подготовки.

Крупные компании вводят в штатное расписание должностную единицу, в обязанность которой вменяется контроль над сбором и хранением всего пакета документов. Она же занимается качеством информационных систем и степенью их защиты. Собственно, этому человеку и поручается подготовка к проверке.

Для работодателя это особая статья в бюджете, поскольку услуги такого специалиста оцениваются очень дорого.

Если компания не может позволить себе такую штатную единицу, то приглашаются сторонние эксперты. За определенное вознаграждение они систематизируют все данные и приводят в порядок документы.

Наконец, подготовку можно выполнить своими силами.

Советы предпринимателям

Во время проверки:

  1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
  2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
  3. Не паникуйте;
  4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
  5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
  6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
  7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Порядок истребования документов у организаций и ИП

Согласно ч. 1 ст. 14 закона № 294 обязательным условием для начала проверки является издание руководством территориального органа Роскомнадзора соответствующего приказа. Перечень требований к данному приказу обозначен в ч. 2 ст. 14 закона № 294. В приказе о проведении проверки должен быть указан исчерпывающий перечень документов, которые организации нужно представить для достижения цели проверки.

Для справки! В законодательстве нет конкретного перечня документов, которые вправе истребовать проверяющие сотрудники Роскомнадзора, или ограничений по истребованию отдельных видов документов. Поэтому в рамках проверки может быть запрошен любой документ (кроме уже имеющихся в Роскомнадзоре), но только в пределах проверяемых Роскомнадзором направлений.

В то же время порядок истребования документов установлен достаточно подробно и выглядит он следующим образом:

  • согласно чч. 4 и 5 ст. 11 закона № 294 Роскомнадзор должен направить в проверяемую организацию письменный запрос и копию приказа о проведении проверки с указанием списка всех необходимых документов;
  • после получения такого запроса организация должна в течение 10 дней направить заверенные ее руководителем копии указанных документов.

Частый гость по персональным данным

В связи с тем, что наиболее частыми являются проверки со стороны Роскомнадзора, рассмотрим более детально именно это направление.

Проверка проводится в отношении документов и локальных актов оператора персональных данных, указанных в ст. 18.1. Федерального закона «О персональных данных» от 27.07.2006 N 152- ФЗ., а также в отношении деятельности оператора и информационных систем персональных данных оператора, касающихся обработки.

Проверка Роскомнадзора может быть как плановая, так и внеплановая. Проверить, есть ли Организация в плане Роскомнадзора на проверку в текущем году, можно на сайте ведомства . Срок проведения плановой проверки не может превышать 20 рабочих дней, но может быть продлена еще на 20 дней.

Как показывает практика, процент проведения внеплановых проверок растет, о проверке нельзя узнать с достаточным запасом времени, как следствие, нельзя должным образом подготовиться. Срок проведения внеплановой проверки не может превышать 10 рабочих дней, однако может быть продлена еще на 10 дней. Решение о проведение внеплановой проверки может быть принято, если, например, на Организацию поступали жалобы со стороны субъектов ПДн.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *