Как общаться с сотрудниками Роскомнадзора?
Garant-agency.ru

Юридический портал

Как общаться с сотрудниками Роскомнадзора?

Как общаться с сотрудниками Роскомнадзора?

Персональные данные — это любая информация, позволяющая идентифицировать человека, определить, о ком именно идет речь, за исключением сведений, подлежащих распространению в СМИ в установленных федеральными законами случаях .

Например: ФИО, дата рождения, паспортные данные, адрес места жительства или регистрации, СНИЛС, ИНН, сведения об имущественном и семейном положении гражданина, его образовании, профессии, доходах, о состоянии здоровья, контактные данные, увлечениях (хобби) человека, национальной принадлежности, членстве в каких-либо организациях.

При этом каждое из перечисленных сведений, взятое отдельно, в отрыве от других, может не относиться к персональным данным, но становится таковым в сочетании с другим. Например, сам по себе номер мобильного телефона не персонален, но вместе с ФИО становится «персональным данным».

Защита персональных данных в некоммерческой организации (НКО) — это демонстрация заинтересованности в обеспечении защиты персональных данных своих подопечных и сотрудников и забота об улучшении ее имиджа.

Персональные данные человека, оказавшиеся в недобрых руках, могут стать инструментом для нанесения ему вреда: от домашних краж до незаконных сделок с недвижимостью, оформления кредитов и регистрации организаций от имени человека.

НКО не должна допускать произвольного распространения персональных данных людей, если не хочет получить многотысячные штрафы.

Человек, чьи данные были незаконно распространены может обратиться в соответствующие компетентные органы (например, в Роскомнадзор или в прокуратуру) с жалобой и это чревато для НКО проведением внеплановой проверки. В случае выявления нарушений законодательства о персональных данных организация, а также ее сотрудники могут быть привлечены к административной ответственности, а ответственные сотрудники НКО могут понести материальную (п. 7 ст. 243 ТК РФ), дисциплинарную (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).

Законом предусмотрена ответственность юридических лиц (НКО относится к ним) за следующие нарушения:

предупреждение или штраф от 30 000 до 50 000 рублей — обработка персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ);

штраф от 15 000 до 75 000 рублей — обработка персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ);

предупреждение или штраф от 15 000 до 30 000 рублей — неопубликование политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ);

предупреждение или штраф от 20 000 до 40 000 рублей — непредоставление субъекту персональных данных информации, касающейся обработки его персональных данных (ч. 4 ст. 13.11 КоАП РФ);

предупреждение или штраф от 20 000 до 45 000 рублей — невыполнение в сроки, установленные законодательством в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ч.5 ст. 13.11 КоАП РФ);

штраф от 25 000 до 50 000 рублей — невыполнение при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния (ч. 6 ст. 13.11 КоАП РФ).

НКО может быть привлечена к административной ответственности по одному или сразу нескольким составам административных правонарушений. Ее сотрудники, должностные лица, могут быть привлечены к административной ответственности отдельно.

— Конвенция о защите физических лиц при автоматизированной обработке персональных данных (была ратифицирована Россией в 2005 году).

— Конституция Р Ф (статьи 23 и 24).

— Федеральный закон от 27.07.2006 № 152- ФЗ «О персональных данных».
— Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
— Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

— Кодекс Р Ф об административных правонарушениях (статья 13.11.).
— Трудовой кодекс РФ (глава 14).

Подзаконные акты, устанавливающие порядок сбора, обработки, хранения, защиты персональных данных, издаются Роскомнадзором или Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Федеральной службой безопасности.

Любые действия, производимые с персональными данными называются их обработкой.

Если в НКО собирают, записывают, систематизируют, накапливают, хранят, уточняют (обновляют), используют, передают (распространяют, предоставляют), обезличивают, удаляют и уничтожают персональные данные, то все это, как следует из закона, является обработкой персональных данных.

Обрабатывать персональные данные не запрещено, но делать это нужно при соблюдении законодательства.

Законом запрещено обрабатывать персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни человека. Однако обработка указанных выше персональных данных допускается, если:

Субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

Персональные данные сделаны общедоступными самим человеком (то есть доступ к ним есть у неограниченного круга людей с согласия самого субъекта персональных данных или на эти персональные данные требование о соблюдении конфиденциальности не распространяется согласно закону);

Обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ;

Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

Обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

Обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

Обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

Обработка персональных данных осуществляется в случаях, предусмотренных законодательством РФ, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан.

В случае необходимости согласие можно получить от одного из родителей, поскольку согласно части 1 статьи 61 Семейного кодекса РФ, родители имеют равные права и несут равные обязанности в отношении своих детей.

Вместе с тем, отдельно законом вопрос получения такого согласия от родителей не регламентируется и неизвестно, каким образом может отреагировать Роскомнадзор в случае проведения проверки в организации на наличие согласия лишь от одного из родителей.

В связи с этим, если есть возможность получения согласия на обработку персональных данных ребенка от обоих родителей, то лучше получить от обоих.

Перечень мер, направленных на защиту персональных данных, организация вправе определять самостоятельно. Ниже — рекомендованный минимум таких мер:

  1. Разработать и принять Положение об обработке персональных данных. Оно включит в себя описание порядка обработки, изменения, копирования, распространения персональных данных, о правилах доступа, о мерах предотвращения неправомерного доступа к персональным данным, перечень лиц, которые обрабатывают персональные данные и/или имеют к ним доступ;
  2. Назначить приказом руководителя организации ответственного сотрудника, обеспечивающего исполнение организацией законодательства о персональных данных.
  3. Получить от каждого субъекта согласие на обработку персональных данных;
  4. Уведомить субъект персональных данных о прекращении обработки и об уничтожении его персональных данных;
  5. Осуществить технические меры защиты персональных данных (например, хранить документы с персональными данными в запираемых на замок шкафах; ограничить доступ в помещения с персональными данными домофоном или с помощью организации пропускного режима; обеспечить защиту путем раздельного хранения носителей персональных данных, которые обрабатываются в различных целях — раздельное хранение данных сотрудников и обращающихся в организацию людей; защита паролем компьютеров, где хранятся персональные данные; установка антивирусных программ на компьютеры, чтобы исключить случаи порчи и уничтожения данных на компьютерах и т. п.);
  6. Ознакомить сотрудников с действующим законодательством в области защиты персональных данных и локальными актами организации об этом;
  7. Провести профилактическую работу с сотрудниками организации по предупреждению разглашения ими персональных данных;
  8. Разместить информацию о том, как организована работа с персональными данными в организации (положение об обработке персональных данных или политика конфиденциальности в организации) в доступном для людей месте в офисном помещении, опубликовать ее в интернете, если у организации есть сайт, а также на всех онлайн ресурсах организации, которые собирают персональные данные пользователей

Работа в Роскомнадзоре. Часть 1.

Итак, на меня подписалось определенное количество людей которым интересна тема работы в РКН, так что ловите обещанный пост.

Немного предыстории: в 2017 году я окончил институт по специальности безопасность информационных технологий в правоохранительной сфере. После получения диплома были прошерстены сайты по поиску работы. Спустя неделю наткнулся на объявлении о поиске сотрудника в отдела персональных данных в территориальном органе Роскомнадзора. На безрыбье и рак рыба подумал я, взял в охапку документы и пошел узнавать что да как. Меня приняли руководитель филиала и начальник отдела ОПДНМК (отдел персональных данных и надзор массовых коммуникаций). Очень размыто рассказали о задачах данного отдела, но мне это было не особо важно – главное, что я быстро нашел работу по специальности, что казалось невыполнимой задачей. Как выяснилось позже там невероятная текучка кадров и им нужны любые молодые специалисты, так что собеседование было формальностью, и мне сразу сказали, что я принят)

Читать еще:  Неуплата за детский сад

Структура территориального органа:

1)Отдел ОПДНМК – персональные данные, регулирование интернета, СМИ, ТВ и радио

2) Отдел связи – в основном вопросы по почте России

3) Отдел закупок и бухгалтерия

Первая рабочая неделя была невероятно унылая. Сначала мне доверили вбивать в ПК заявления о начале обработки персональных данных (далее ПД) или заявления об изменениях в методах обработки их же. Это был первый звоночек. Итак представьте, вы ИП,ООО, ТСЖ или другое юридическое лицо. В соответствии с 152 ФЗ “О персональных данных” вы должны уведомить РКН о том, что вы обрабатываете ПД – например адреса, телефоны заказчиков; а также методы их обработки, то есть что вы собственно с этими данными делаете (храните, передаете, уничтожаете ли их, обезличиваете и прочее), место хранения этих данных и методы защиты. Казалось бы здравая идея – ведь вопрос защиты ПД важен в современном обществе – где можно оформить онлайн займ на ваш паспорт, или добыть ваш номер телефона и доставать рекламными звонками. Однако друг, не забывай где мы живем, и контроль над данным вопросом идет через одно место. Сотрудник которому начальство поручает уведомить РКН о начале обработки ПД ни черта не понимает, что от него собственно хотят и под копирку делает на отье**сь бесполезную бумажку, в которой пользы и достоверности как от козла молока. Если ваши данные которые обрабатывает оператор ПД куда то утекут то концов все равно будет не найти. Итог – бесполезное время “ответственного за обработку персональных данных” на составление данной бумажки и время сотрудника РКН, вбивающего эти данные в рабочий пк в соответствующем разделе в так называемую Единую информационную систему (ЕИС). В день я вносил 5-10 таких уведомлений в ЕИС и плевал в потолок остальное рабочее время. У РКН есть определенный план по проверкам юридических лиц и самое главное – план по штрафам (непредставление уведомления об обработке ПД влечет подачу заявления Роскомпозора в суд, где вам либо выпишут предупреждение либо штраф в 3000 р). То есть под благими намерениями скрывается банальный з*еб сотрудников и штрафы для юриков.

Структура работы выглядит следующим образом: в адрес территориального управления приходит кипа бумажек – уведомления об обработке ПД; материалы проверок прокуроров, повести в суд, обращения граждан и т.д. Делопроизводитель сортирует эту макулатуру и сканирует, занося в программу ЕИС(смесь СРМ и базы данных) и отправляя документы в программе руководителю и заму. Им приходит скан, они пробегают глазом по нему и создают поручение по подведомственности начальникам отделом. Например делопроизводитель присылает скан того самого уведомления об обработке ПД руководителю. Руководитель создает поручение начальнику ОПДНМК с приложенным сканом и своим комментарием “поручи внести эту шляпу своим бездельникам”. Начальник отдела в свою очередь перепоручает тот же самый документ уже со своим комментарием “вася хорош чаи гонять внеси уведомление” . Далее Вася вносит это информацию из этого уведомления в базе данных ЕИС и ставит галочку “исполено”. Начальнику отдела приходит уведомление о выполнение и он в свою очередь закрывает поручения для руководителя. Профит.

Защита информации и цензура.

Итак первая часть работы сотрудника отдела персональных данных вам понятна, перехожу к следующим обязанностям. Сотрудник, который принимался на работу вместе со мной выполнял роль юриста по вопросам регулирования интернета уволился спустя 2 месяца, но выполнять его работу было кому то надо и им стал я) В его обязанности входило создание протоколов двух видов – ст. 19.7 КОАП (непредставление сведений об обработке пд) и протоколы о нарушениях в сфере коммуникаций ; а также рассмотрение дел о нарушениях в распространении информации. И тут начинается рассказ о том, что именно тебя привело в данный пост. Рассказываю как именно тебе блокируют порно)

Шаг первый – прокурор проводит проверку интернета на наличие запрещенной к распространению на территории РФ информации по плановым проверкам или же по обращениям граждан. Допустим прокурор нашел сайт, где можно вызвать проститутку. И нет чтобы воспользоваться услугой путаны, он берет и составляет протокол о том что обнаружил запрещенную информацию.

Шаг второй – прокурор уведомляет Роскомнадзор о том, что на таком то сайте в соответствии с такой то статьей находится информация о проституции и надо к херам блокировать его.

Шаг третий – сотрудник РКН проводит проверку указанного интернет адреса. Как это выглядит с моей стороны : приходит пачка однотипных дел от прокуроров, отличаются только виды информации (прон, проституция, информации об оружии, наркотиках ну и т.д.) . Допустим наш прокурор нашел сайт с вышеуказанными проститутками. Я вбиваю ссылку указанную им и вызываю проститутку убеждаюсь, что действительно там анкеты жриц любви. По шаблону даю ответ, что да братан в соответствии с такой то статье необходимо ограничить доступ к данному сайту.

Шаг четвертый – дело оказывается в суде, где РКН является ответчиком или третьим лицом. Приходит повестка в местный суд прокуратуре и Роскомнадзору – мол ребята явитесь поболтаем на эту тему. Но тратить время на это никому не нужно и РКН делает отписку, что опять же в соответствии с такой то статьей считаем, что надо ограничить сайт с ненавистными проститутками в рамках упрощенного делопроизводства (без присутствия сторон). Судья выносит решение о признании данной информации запрещенной и обязывает Роскомнадзор внести данный сайт в систему ЕАИС в список запрещенных.

Шаг пятый – решение суда вступает в законную силу и сотрудник РКН (например я) вбивает адрес данного сайта, причину блокировки и прикладывает скан решения суда в эту самую ЕАИС.

Шаг шестой – центральный аппарат РКН опять же проверяет инфу по этому делу и уже ограничивает доступ к этому сайту – вносит адрес ресурса-нарушителя в чёрный список, после чего доступ блокируется автоматически: операторы обязаны постоянно сверяться с реестром запрещённых сайтов и отклонять запросы абонентов на доступ к ним.

Если информация относится к определенному виду – например экстремизм – то генпрокуратура составляют акт проверки ну к примеру очередного ролика Навального. С 2014 года дела об распространении информации с экстремизмом могут рассматриваться без суда – достаточно материалов проверки прокурора .Под определение «экстремистский» подпадают интернет-ресурсы, призывающие к экстремизму, к массовым беспорядкам, к несанкционированным митингам, а также информационные ресурсы зарубежных организаций, признанных в России нежелательными). Генпрокуратура, получив и проверив информацию об экстремистском веб-ресурсе, после принятия решения информирует Роскомнадзор, сайт попадает в реестр запрещённых и блокируется обычным порядком.

Вторая часть будем посвящена СМИ, радио и тв. Ну и немного почты России)

10 ошибок при работе с персональными данными: к чему придерется Роскомнадзор

Роскомнадзор проверяет, как работодатели соблюдают правила обработки персональных данных. Расскажем о 10 нарушениях, которые выявляют чаще всего. Пока не выписали штраф или предписание, проверьте, все ли требования вы соблюдаете.

Ошибка № 1. Не разработали и не опубликовали политику обработки персональных данных

Что нужно сделать. Не только разработать политику обработки данных, но и опубликовать ее на сайте или другим способом обеспечить неограниченный доступ к документу (ч. 2 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Разработайте политику или актуализируйте ту, что у вас есть, по Рекомендациям Роскомнадзора от 27.07.2017. Важно: не копируйте готовые формулировки, а отобразите в документе особенности именно вашей компании. За нарушение грозит штраф до 30 000 руб. (ч. 3 ст. 13.11 КоАП РФ).

Ошибка № 2. Не назначили ответственного за обработку персональных данных

Что нужно сделать. Назначить одного сотрудника, который будет отвечать за обработку персональных данных. Ответственный должен подчиняться непосредственно генеральному директору и у него должны быть полномочия давать указания руководителям подразделений (ч.2 ст. 22.1 ФЗ от 27.07.2006 № 152-ФЗ).

Ошибка № 3. Не утвердили перечень лиц, которые имеют доступ к персональным данным

Что нужно сделать. С помощью приказа утвердите перечень сотрудников, которым может понадобиться доступ к персональным данным в связи с их должностными обязанностями. Получать они должны только те данные, которые им нужны в работе (ст. 88 ТК РФ). В приказе можно указать ФИО, должности конкретных сотрудников, структурное подразделение или перечень должностей и структурное подразделение.

Ошибка № 4. Собираете и храните лишние документы

Что нужно сделать. Проверьте личные дела сотрудников – в них не должно быть лишних документов (ч. 5 ст. 5 ФЗ от 27.07.2006 № 152-ФЗ). Для этого воспользуйтесь чек-листом.

Как только вы оформили кадровые документы, предоставили сотруднику гарантии и компенсации и выполнили другие необходимые действия и процедуры, персональные данные больше не нужны. Копии документов верните сотруднику или уничтожьте. Если в личном деле сотрудника, других документах и папках будете хранить данные, которые уже обработали и которые больше не нужны, компанию могут оштрафовать до 50 тыс. руб. (ч. 1 ст. 13.11 КоАП РФ).

Ошибка № 5. Не проводите внутренний аудит работы с персональными данными

Что нужно сделать. Разработайте процедуру внутреннего контроля или аудита и периодически его проводите (п. 4 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Для этого создайте комиссию, которая будет анализировать документы, изучать процессы обработки персональных данных и давать рекомендации по их защите.

Читать еще:  Матрас ненадлежащего качества подлежит возврату или нет

Ошибка № 6. Не знакомите работников под подпись с законом о персональных данных

Что нужно сделать. Оформите лист ознакомления работников с положениями законодательства о персональных данных и внутренними документами по вопросам обработки персональных данных (п. 6 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Другой вариант — включите положения в трудовой договор с работником.

Ошибка № 7. Не уведомили Роскомнадзор или неправильно заполнили уведомление об обработке персональных данных

Что нужно сделать. Ваша задача – уведомить территориальный орган Роскомнадзора о том, что будете обрабатывать персональные данные. Для этого используйте Методические рекомендации Роскомнадзора, утв. приказом от 30.05.2017 № 94. Роскомнадзор предупреждает: не берите готовые шаблоны из интернета, они могут быть ошибочными.

Ошибка № 8. Не сообщили в Роскомнадзор об изменении сведений, которые указали в уведомлении об обработке персональных данных

Что нужно сделать. Если изменили сведения, которые указывали в уведомлении, направьте в 10-дневный срок в Роскомнадзор информационное письмо. Форма информационного письма есть в Приложении № 2 к Рекомендациям № 94. Заполните те поля, в которых меняются сведения.

Ошибка № 9. Не утвердили перечень мест хранения персональных данных

Что нужно сделать. Издайте приказ, которым утвердите перечень мест хранения материальных носителей персональных данных – журналов, личных дел и т.д. (п. 13 Положения, утв. постановлением Правительства РФ от 15.09.2008 № 687). Во всех кабинетах, где обрабатываете персональные данные на бумаге, определите места хранения — например, сейфы. Местом хранения может быть и само помещение, к примеру, архив организации.

Ошибка № 10. Используете неверный бланк согласия на обработку персональных данных

Что нужно сделать. Согласие на обработку персональных данных должно включать все обязательные реквизиты, которые предусматривает закон (ч. 4 ст. 9 ФЗ от 27.07.2006 № 152-ФЗ). За некорректную форму согласия предусмотрен штраф до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Согласие на обработку персональных данных должно содержать:

1. ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.

2. ФИО, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных).

3. Наименование или ФИО и адрес оператора, получающего согласие субъекта персональных данных.

4. Цель обработки персональных данных.

5. Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.

6. Наименование или фамилию, имя, отчество и адрес лица, обрабатывающего персональные данные по поручению оператора, если обработка будет поручена такому лицу.

7. Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных.

8. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.

9. Подпись субъекта персональных данных.

Образцы необходимых документов и более подробные разъяснения смотрите в презентации Роскомнадзора.

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Проверка Роскомнадзора: как подготовиться и избежать штрафов

Проверяя компанию, Роскомнадзор руководствуется прежде всего Федеральным законом №152-ФЗ «О персональных данных». При этом проверка может быть как плановой, так и внеплановой.

Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года. Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит. Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Тем более что в настоящее время Госдума рассматривает законопроект о значительном увеличении штрафов за нарушения в обработке персональных данных.

Виды проверок Роскомнадзора

Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.

– Плановая проверка

О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.

– Внеплановая проверка

Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

– Документарная проверка

В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.

– Выездная проверка

При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.

В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.

Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?

Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований. Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять. Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.

Если привлечение внешнего специалиста для вас дорого, сделайте выбор в пользу бюджетного варианта и используйте специальные онлайн-сервисы для выполнения законодательства о персональных данных.

Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:

  1. Для начала найдите в компании человека, который будет следить за выполнением законодательства в области персональных данных. Часто в компаниях малого и среднего бизнеса эта функция делегируется бухгалтеру, кадровику или юристу. Реже ее берет на себя руководитель. В крупных компаниях вопросами защиты информации может заниматься целый отдел.
  2. Назначьте ответственного за организацию обработки персональных данных в компании. Скорее всего, это будет тот же человек, который занимается вопросами персональных данных.
  3. Изучите процесс обработки персональных данных в компании, например, какие персональные данные компания собирает, в каких целях. Компания может собирать персональные данные работников для выполнения трудового законодательства или данные клиентов для выполнения заключенных с ними договоров, ей также могут понадобиться персональные данные соискателей на вакантные должности. Возможно, компания передает эти данные в другую организацию, например, данные сотрудников в бухгалтерию.
  4. На основе полученной информации разработайте пакет документов, включающий политику компании в отношении обработки персональных данных, положение по неавтоматизированной обработке, приказ о назначении ответственных и ряд других положений, приказов, инструкций и актов. Разработанные документы необходимо утвердить.
  5. Обязательно ознакомьте с утвержденными документами всех работников, которые имеют к ним отношение. Например, с положением по неавтоматизированной обработке нужно ознакомить только тех работников, которые работают непосредственно с бумажными документами, содержащими персональные данные.
  6. Основной документ — политику компании в отношении обработки персональных данных — разместите в общедоступном месте, чтобы каждый желающий мог ее прочесть. Лучше всего копию документа разместить на информационном стенде. Если у компании есть сайт, на котором собираются персональные данные пользователей, например, ФИО, телефон и e-mail для регистрации, то на сайте также нужно разместить политику, причем в том месте, где она будет заметна пользователю.
  7. Подайте уведомление в Роскомнадзор об обработке персональных данных. Уведомление оформляется в двух видах — электронном и печатном.

Чтобы выслать уведомление в электронном виде, нужно на сайте Роскомнадзора заполнить электронную форму. После отправки электронного уведомления, распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.

В течение 30 дней Роскомнадзор рассмотрит ваше уведомление и добавит компанию в реестр операторов. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона №152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.

Проверка Роскомнадзора: на что обращают внимание инспекторы?

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Какие персональные данные можно обрабатывать без уведомления:

  1. данные, которые обрабатываются в соответствии с трудовым законодательством;
  2. данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  3. данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  4. данные, сделанные субъектом персональных данных общедоступными;
  5. данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
  6. данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
  9. данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Читать еще:  Хотят отобрать землю у гражданки Украины

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.

Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных. К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.

В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

Как проводится проверка Роскомнадзора

Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.

Полномочия Роскомнадзора

У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:

  1. Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
  2. Надзор над предоставлением услуг в области связи.
  3. Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
  4. Ведение информационной системы, реестров операторов связи.
  5. Регистрация СМИ.
  6. Защита информации, являющейся государственной тайной.

Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.

Разновидности проверок

Роскомнадзор осуществляет следующие формы проверок:

  • Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
  • Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
  • Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
  • Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.

Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

Что именно будут проверять

Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

Роскомнадзор осуществляет контроль над следующими направлениями:

  • Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
  • Системы, осуществляющие обработку данных (ПК и программы).
  • Наличие локальных нормативных актов.
  • Исполнение положений этих актов.
  • Сайт организации.

Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.

Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:

  • Учредительная документация (ИНН, устав и прочее).
  • Уведомление о том, что фирма работает с ПД.
  • Перечень ПД, сбор которых осуществляется.
  • Перечень работников, у которых есть доступ к данным.
  • Приказ о допуске таких сотрудников к ПД.
  • Инструкции для специалистов, которые работают с данными.
  • Положение об ответственности сотрудников за разглашение ПД.
  • Документ об обработке ПД.
  • Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
  • Соглашение о неразглашении ПД.
  • Письменное согласие лиц на обработку.
  • Журналы инструктажей относительно мер безопасности.
  • Журналы учета носителей сведений.

Роскомнадзор также может затребовать и другие документы.

Продолжительность проверки

Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.

Особенности подготовки к проверке

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

  1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
  2. Проверка соответствия деятельности информации, прописанной в едином реестре.
  3. Назначение лица, ответственного за работу с ПД.
  4. Составление Политики фирмы в отношении обработки ПД.
  5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
  6. Проверка правильности хранения документов, ограниченности доступа к ним.
  7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Как осуществляется проверка

Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.

Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.

Результаты проверки

В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.

Можно ли обжаловать результаты проверки?

Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.

Ссылка на основную публикацию
Adblock
detector