Pravo-76.ru

Юридический журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Проверка Роскомнадзора на 2021 год как подготовиться что проверяют

Как грамотно и успешно подготовиться к проверке Роскомнадзора

Роскомнадзор является федеральной службой, в полномочия которой входит контроль над организациями в вопросах массовых коммуникаций, связи и информационных технологий. Надзор осуществляется путем проведения проверок по организационным моментам — как плановых, так и внеплановых. Основанием для такой деятельности является Федеральный закон N 294-ФЗ.

По отношению к каждой организации, деятельность которой лежит в сфере обработки индивидуальных данных, проводится обязательная проверка Роскомнадзора.

Такое предприятие попадает в поле зрения этой службы не чаще одного раза в три года. Поэтому каждый руководитель, зная дату последнего визита проверяющих, может понять, как скоро им предстоит опять встретится.

Суммы штрафов

Согласно федеральному закону от 24 февраля 2021 г. № 19-ФЗ, административная ответственность по статье 13.11 предусматривает штрафы в зависимости от последствий нарушения. Так, ответственность для юридического лица предусматривает наложение штрафа в размере от 30 тыс. руб. до 6 млн руб., а при повторном нарушении — до 18 млн руб. Такой штраф компания или ИП заплатят, если повторно нарушат обязанность по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения персональных данных, собранных в интернете.

Российские банки занимают лидирующие позиции в мире по глубине цифровизации

Штраф за обработку персональных данных без согласия владельца ПД достигает 500 тыс. руб. Максимальный совокупный штраф для должностного лица составляет 336 тыс. руб., а при повторном нарушении может превышать 1 млн руб. В мае 2021 г. CNews писал, что депутаты «Единой России» хотят в десять раз увеличить штрафы за разглашение персональных данных.

Для Роскомнадзора

В случае проверки Роскомнадзором этот перечень необходимо дополнить:

  • Договоры, одной из сторон которых является субъект персональных данных. Например, трудовой договор: желательно, чтобы в нем было согласие на обработку персональных данных.
  • Письменное согласие субъектов персональных данных, в том числе работников, на обработку их персональных данных (резюме, анкета, трудовой договор).
  • Письменное согласие на обработку биометрических и (или) специальных персональных данных (если они обрабатываются).
  • Наличие письменного согласия на трансграничную передачу данных (если передаются).
  • Согласие субъекта на передачу его данных третьему лицу (если оператор поручает обработку третьему лицу).
  • Документы, устанавливающие порядок уничтожения и обезличивания персональных данных. Например, «Инструкция по делопроизводству», «Инструкция по конфиденциальному делопроизводству».
  • Типовые формы документов, характер которых предполагает включение в них персональных данных (бланки согласий, бланки трудовых договоров, анкеты сотрудников, клиентов и т.п.).
  • Документы, устанавливающие места хранения материальных носителей персональных данных и порядок их хранения («Инструкция по конфиденциальному делопроизводству» или «Инструкция по режиму безопасности в организации»).
  • Локальные документы, регламентирующие порядок и условия обработки персональных данных работников, кандидатов на замещение вакантных должностей, ведение кадрового резерва (при наличии), а также документы, подтверждающие факт ознакомления работника с локальными документами, регламентирующими порядок и условия обработки его персональных данных. Например, «Положение о защите персональных данных сотрудников с листами ознакомления».

Организация государственного контроля: введенные ограничения

Российское Правительство приняло несколько серьезных экономических и административных мер, ориентированных на поддержание благополучия отечественной экономики. Помимо прямых денежных вливаний и косвенной финансовой поддержки, выразившейся в предоставлении, например, арендных и налоговых каникул отдельным категориям организаций, в их список вошли также нефинансовые меры, которые также способны заметно облегчить жизнь российским компаниям.

Одной из таких мер стали введенные ограничения в области выполнения государственного контроля деятельности коммерческих компаний. В России работают около 30 уполномоченных госорганов, которые наделены полномочиями по контролю работы подведомственных им компаний. При этом каждая проверка – это серьезное испытание для организации. Во-первых, к ней нужно подготовиться, собрав необходимые документы и проверив выполнение действующих требований. Во-вторых, в ходе выполнения контролирующих мероприятий обычно задействуются несколько сотрудников организации, которые сопровождают инспекторов и дают им ответы на интересующие вопросы. Это затрудняет функционирование компании в нормальном режиме.

Чтобы исключить воздействие этого фактора на работу организаций, которые и так пребывают в сложном положении, Правительство ввело временный запрет на проведение большинства типов проверок. Однако действие этого запрета будет различаться для разных контролирующих органов. В этом материале мы выясним, каким образом будет вести контролирующую деятельность в 2021 году Ростехнадзор.

Читать еще:  Штрафы за несвоевременную сдачу СЗВМ в 2021 году

Роскомнадзор: чтобы не застали врасплох

Подготовка к приходу инспекторов достаточно трудоемкая.

Личные сведения персонала или клиентов не имеют материального выражения, физической оболочки. Любой другой документ можно просто положить в сейф, но в этом случае работодатель должен убедить инспекторов в том, что личные данные хранятся и охраняются надежно.

Все вышеперечисленные локальные акты должны находиться в одной папке. Это основной этап подготовки.

Крупные компании вводят в штатное расписание должностную единицу, в обязанность которой вменяется контроль над сбором и хранением всего пакета документов. Она же занимается качеством информационных систем и степенью их защиты. Собственно, этому человеку и поручается подготовка к проверке.

Для работодателя это особая статья в бюджете, поскольку услуги такого специалиста оцениваются очень дорого.

Если компания не может позволить себе такую штатную единицу, то приглашаются сторонние эксперты. За определенное вознаграждение они систематизируют все данные и приводят в порядок документы.

Наконец, подготовку можно выполнить своими силами.

Для этого необходимо предварительно выполнить следующее:

Проверить, предоставлялись ли раньше инспекторам сведения об обработке данных. Важно, чтобы такая информация была подана до начала профессиональной деятельности. Даже один день просрочки чреват штрафами и административными санкциями.

  • Проверить, насколько релевантна практическая деятельность компании тому, что было озвучено когда-то в Едином реестре. Если были хоть малейшие изменения в профессиональной деятельности, их надо вносить в реестр. Инспектора Роскомнадзора скрупулезно рассматривают именно этот момент. В частности, перепоручение другому должностному лицу обязанности по обработке сведений без фиксации этого факта в реестре является поводом для наложения штрафа.
  • Довести до сведения персонала или сетевой аудитории политику учреждения в отношении личных сведений. В ней должна быть озвучено: как собираются, хранятся, уничтожаются и как передаются данные.
  • Если вся документация хранится в одном архиве, подготовка будет более легкой. Достаточно будет проверить состояние помещения, шкафов, папок для хранения паспортов, ксерокопий и тд. Но здесь важный нюанс: обязательно должна быть отметка в архиве о том, кто располагает доступом к важной документации.
  • Иногда работодатели начинают спорить о том, являются ли они операторами данных, если они «только собирают сведения». Это самая распространенная ошибка. Сам факт сбора личных данных уже автоматически переводит работодателя в разряд операторов. Если же на сайте есть кнопка, требующая согласия на обработку данных, то сомнений в статусе «оператор» уже не возникает.

    Новые правила проверок Роскомнадзора в области персональных данных

    Юридическая компания «Пепеляев Групп» сообщает о вступлении в силу обновленного порядка проверок соблюдения законодательства в области персональных данных

    23 февраля 2019 г. вступает в силу Постановление Правительства РФ[1], устанавливающее порядок организации и осуществления проверок в отношении операторов персональных данных (далее – Постановление). Ранее порядок проведения проверок регулировался Административным регламентом 2011 г.[2] (далее – Административный регламент). Постановление обновило и дополнило этот порядок, закрепив его на более высоком нормативном уровне, как того требует законодательство.

    Несмотря на то, что общие правила проведения проверок, установленные Административным регламентом, не изменились, Постановление вводит ряд любопытных, на наш взгляд, положений. Среди них можно отметить следующие.

    Исключается «техническая сторона» вопроса

    В Постановлении акцентировано внимание на том, что Роскомнадзор не проверяет выполнение организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (далее – ИСПДн). Причем из-под сферы проверок выведена целиком ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

    В связи с выведением за пределы проверки существенного блока регуляторных требований в части обеспечения безопасности персональных данных в ИСПДн, можно ожидать последующего утверждения соответствующих правил контроля и надзора в данной области, вероятно, с передачей данной компетенции другим контрольно-надзорным органам, например, ФСТЭК России.

    Увеличивается частота плановых проверок

    Как и ранее, сохранилось общее правило о проведении плановых проверок операторов раз в три года и реже. Однако появилась новая классификация операторов персональных данных для целей проверок, среди них операторы:

    • осуществляющие сбор биометрических и специальных категорий персональных данных;
    • осуществляющие трансграничную передачу персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных;
    • обрабатывающие персональные данные по поручению иностранной компании (физического лица, государственного органа), не зарегистрированного в России.
    Читать еще:  Честь и достоинство в гражданском праве статья ГК РФ

    Таких операторов теперь смогут проверять чаще – один раз в два года.

    Уточняются иные процедурные положения

    Несмотря на то, что Роскомнадзор теперь вправе осуществлять плановые проверки операторов чаще, следует учитывать нехватку ресурсов для регулярной проверки значительного количества компаний.

    Однако если обратить внимание на список операторов, то, например, в связи с обработкой специальных категорий персональных данных, которая осуществляется практически всеми работодателями (например, сведения о состоянии здоровья работников), в данную группу операторов попадают, по сути, все компании. Поэтому если у Роскомнадзора будет намерение проверять того или иного оператора столь часто, это будет допустимо в рамках закона.

    Уточнен и расширен перечень оснований для продления срока проведения проверки. Так, например, основанием для продления проверки теперь является разветвленность организационно-хозяйственной структуры оператора, сложность технологических процессов обработки персональных данных.

    Упразднены внеплановые документарные проверки.

    В отношении ИСПДн уточнено право регулятора получать во время выездной проверки доступ к ИСПДн оператора в режиме просмотра и выборки информации на предмет соответствия содержания, объема, способов обработки и сроков хранения обрабатываемых персональных данных целям их обработки.

    Срок внеплановой проверки сокращается с 20 до 10 дней.

    Кроме того, установлен предельный срок устранения выявленных в ходе проверки нарушений, который будет составлять шесть месяцев (ранее такой срок определялся на усмотрение Роскомнадзора).

    О чем подумать, что сделать

    Компаниям рекомендуется провести проверку соблюдения требований законодательства о персональных данных, а также заблаговременно подготовиться к возможным контрольно-надзорным мероприятиям Роскомнадзора.

    Помощь консультантов

    Специалисты юридической компании «Пепеляев Групп» рады оказать услуги по проведению аудита операторов персональных данных в части соблюдения требований законодательства о персональных данных и по приведению деятельности операторов в соответствие с требованиями закона.

    Наши юристы обладают большим опытом по подготовке и сопровождению проверок, проводимых Роскомнадзором, и готовы оказать соответствующее комплексное правовое и техническое содействие для своевременного выявления возможных нарушений и их устранения, а также представлять интересы организации и ее сотрудников при проведении контрольных мероприятий и в спорах с административными органами.

    [1] Постановление Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».

    [2] Утвержден Приказом Минкомсвязи России от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».

    Проверки Роскомнадзора: что необходимо знать (Часть 1)

    Игорь Бахарев

    Иван Носков, юрист Зарцын и партнеры

    Как и почему Роскомнадзор проверяет компании

    Кто-то пугает шалящих детей бабайкой, кто-то «дядей милиционером», а владельцы интернет-магазинов, по ощущениям, скоро начнут пугать своих отпрысков Роскомнадзором. Но так ли страшен Он, как все его представляют? Придет ли Он просто так и заблокирует ли ваш сайт? Давайте разберемся. Для начала стоит понять, каковы компетенции данного ведомства – за чем и почему надзирает, а потом уже разобрать, за что может наказать и как.

    Итак, в установленном порядке Роскомнадзор осуществляет государственный контроль и надзор за соблюдением законодательства в области, связи, СМИ, массовых коммуникаций, ТВР-вещания и персональных данных.

    Правовыми основаниями осуществления государственного контроля и надзора является Постановление Правительства РФ от 5 июня 2013 г. № 476 «Об утверждении Положения о федеральном государственном надзоре в области связи» (далее – «ППРФ») и ФЗ от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (далее по тексту – «ФЗ № 294»).

    Читать еще:  Отчет по практике как писать пример образец 2021

    Когда ждать Роскомнадзора?

    Проверки бывают двух типов:

    1. Плановые – проводятся на основании и в сроки, указанные в Плане плановых проверок, утвержденном Роскомнадзором и одобренном прокуратурой.

    Данные о включении компании в план проверок Роскомнадзора можно узнать на официальном сайте . В соответствии с подп. 2, п. 4 ст. 27 ФЗ «О связи» плановая проверка проводится не чаще, чем один раз в два года.

    1. Внеплановые. Основанием для проведения внеплановой проверки в соответствии с ч. 5 ст. 27 ФЗ «О связи» от 7 июля 2003 г. № 126-ФЗ является:

    – истечение срока исполнения выданного органом государственного надзора предписания об устранении выявленного нарушения обязательных требований, то есть если Роскомнадзор указал, что вы должны что-то поправить, а вы не поправили;

    – поступление жалобы на вас;

    – нарушения обязательных требований, выявленные в результате систематического наблюдения, радиоконтроля, производимого органом государственного надзора;

    – наличие приказа (распоряжения) руководителя (заместителя руководителя) органа государственного надзора о проведении внеплановой проверки, изданного в соответствии с поручением Президента Российской Федерации или Правительства Российской Федерации либо на основании требования прокурора о проведении внеплановой проверки в рамках надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.

    Последнее, впрочем, означает, что вы уже очень сильно проштрафились.

    Типичный пример проверки, пришедшей в связи с жалобой: физическое лицо задолжало по коммунальным услугам организации. Впоследствии кредитор обанкротился и продал задолженность физического лица. После того как пришли взыскивать долг, физическое лицо обратилось с жалобой в Роскомнадзор о нарушении порядка обработки персональных данных. Роскомнадзор назначил внеплановую проверку, и суд его поддержал ( Определение по делу № А34-6307/2013 от 15.01.2015. ВС РФ ).

    Обратите внимание! план проверок по персональным данным на сайте Гепрокуратуры отличается от тех, что опубликованы на сайтах территориальных органов Роскомнадзора.

    Длительность проверки

    Срок проведения любой проверки не может превышать 20 рабочих дней, но может быть продлен приказом руководителя Управления Роскомнадзора еще на 20 рабочих дней при наличии «серьезных оснований».

    В отношении одного субъекта малого предпринимательства общий срок проведения плановых выездных проверок в год не может превышать 50 часов для предприятия со штатом до 100 человек и 15 часов для микропредприятия (в штате до 15 человек).

    Обратите внимание! Обо всех проверках (включая внеплановые) и их результатах (включая наказание) можно узнать на сайте Генпрокуратуры .

    С 1 января 2016 года по 31 декабря 2018 года не проводятся плановые проверки у лиц – субъектов малого предпринимательства, за исключением лиц, осуществляющих виды деятельности, перечень которых устанавливается Правительством Российской Федерации.

    Статус малого предприятия в настоящее время фиксируется РФ в соответствующем Реестре .

    Однако этот мораторий не распространяется на случаи, когда в отношении субъекта ранее накладывалось административное взыскание за совершение грубого нарушения, или дисквалификация, или административное приостановление деятельности, или приостановление/аннулирование лицензий. И при этом с даты окончания проведения проверки, по результатам которой вынесено такое постановление либо принято такое решение, прошло менее трех лет.

    Поэтому, если вы раньше нарушали закон – мораторий вас не касается.

    Обратите внимание! Если вас включили в ежегодный план проведения плановых проверок, а не должны были в связи с мораторием, то вы вправе подать в орган государственного надзора заявление об исключении вашей компании из ежегодного плана проведения плановых проверок.

    Для гарантированного невключения в список проверяемых лучше быть зарегистрированным в реестре субъектов малого предпринимательства, который ведет орган по поддержке малого предпринимательства при местном правительстве/мэрии, или же при первичном приходе органа контроля можно предоставить документы о соответствии критериям малого предпринимательства.

    О том, что имеют право делать сотрудники Роскомнадзора, а также о том, чего стоит ждать во время проведения проверки, мы поговорим во второй части статьи. Она выйдет через неделю.

    голоса
    Рейтинг статьи
    Ссылка на основную публикацию
    ВсеИнструменты
    Adblock
    detector