Проверка роскомнадзора по защите персональных данных в детском саду

Обновлено: 05.07.2024

Как работаем и отдыхаем в 2022 году ?

Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.

Полномочия Роскомнадзора

У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:

Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.

Разновидности проверок

Роскомнадзор осуществляет следующие формы проверок:

Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

Что именно будут проверять

Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

Роскомнадзор осуществляет контроль над следующими направлениями:

  • Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
  • Системы, осуществляющие обработку данных (ПК и программы).
  • Наличие локальных нормативных актов.
  • Исполнение положений этих актов.
  • Сайт организации.

Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.

Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:

  • Учредительная документация (ИНН, устав и прочее).
  • Уведомление о том, что фирма работает с ПД.
  • Перечень ПД, сбор которых осуществляется.
  • Перечень работников, у которых есть доступ к данным.
  • Приказ о допуске таких сотрудников к ПД.
  • Инструкции для специалистов, которые работают с данными.
  • Положение об ответственности сотрудников за разглашение ПД.
  • Документ об обработке ПД.
  • Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
  • Соглашение о неразглашении ПД.
  • Письменное согласие лиц на обработку.
  • Журналы инструктажей относительно мер безопасности.
  • Журналы учета носителей сведений.

Роскомнадзор также может затребовать и другие документы.

Продолжительность проверки

Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.

Особенности подготовки к проверке

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

  1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
  2. Проверка соответствия деятельности информации, прописанной в едином реестре.
  3. Назначение лица, ответственного за работу с ПД.
  4. Составление Политики фирмы в отношении обработки ПД.
  5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
  6. Проверка правильности хранения документов, ограниченности доступа к ним.
  7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Как осуществляется проверка

Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.

Результаты проверки

В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.

Можно ли обжаловать результаты проверки?

Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.


В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.

Чего там нового в законодательстве?

По теме проверок по защите персональных данных было написано немало статей и многие из них вышли раньше 2015 года. Чтобы как-то въехать в настоящие реалии, в первую очередь необходимо проанализировать, что же поменялось за последние годы в законодательстве.

242-ФЗ

Сначала давайте вспомним небезызвестный 242-ФЗ. В 2015 году он наделал много шуму в связи с необходимостью локализации персональных данных граждан РФ на территории РФ. Спустя четыре года единственным крупным пострадавшим от этого закона является социальная сеть Linkedin.

Но была в 242-ФЗ и другая сторона, не растиражированная так активно в СМИ.

Что это значит? Для операторов персональных данных, как можно догадаться, – ничего хорошего. Теперь, как уже показала практика, — сильно уменьшилось количество плановых проверок и соразмерно увеличилось количество внеплановых. Об этом говорят и планы проверок Роскомнадзора, опубликованные в конце 2015 года (и в последующих годах) на сайте ведомства. Плановых проверок по персональным данным там — раз, два и обчелся, в отличие от предыдущих годов.

Основная проблема внеплановых проверок в том, что о них нельзя узнать с хорошим временным запасом и, как следствие, — нельзя как можно лучше подготовиться. Например, раньше, когда публиковался план проверок, каждый мог скачать его и узнать, находится ли организация в нем или нет. И врасплох можно было застать только те немногие организации, дата проверки у которых значилась январем-февралем. Остальные имели возможность нормально подготовиться, даже если до этого момента в организации по защите персональных данных совсем ничего не делалось. Сейчас лучше, конечно же, быть готовым к проверке Роскомнадзора по персональным данным в любой момент, то есть всегда держать наготове актуальный комплект документации по защите персональных данных.

13.11 КоАП РФ

Итак, мы убедились, что возросшая вероятность внеплановой проверки и многократно возросшие штрафы за нарушение 152-ФЗ неплохо так стимулируют быть готовыми к проверке в любой момент. Давайте же разбираться, что нам нужно для этого сделать.

Виды проверок

Прежде чем мы перейдем к непосредственным шагам по подготовке к проверкам, давайте посмотрим, какие виды проверок бывают и как проходит типичная проверка.

В целом, проверки можно разделить на 2 вида: документарные и выездные.

Документарные проверки

Документарная проверка чаще всего начинается с того, что в организацию приходит письмо из местного управления РКН с каким-либо требованием. Если в вашей организации, например, не подавали уведомление о её внесении в реестр операторов персональных данных, то вам могут напомнить, о том, что неплохо бы это уведомление все-таки подать. Закон ведь требует. Или обосновать, почему ваша организация может обрабатывать персональные данные без уведомления (в 152-ФЗ предусмотрен ряд исключений). Если уведомление ваша организация всё же подавала, то вам могут напомнить о том, что в реестре время от времени появляются новые поля и их тоже необходимо заполнять. Например, необходимо указать местонахождение ЦОДа и то, является ли он арендуемым или собственным. И да, база данных 1С на компьютере главбуха в понимании Роскомнадзора это ЦОД.

Практика показывает, что у многих операторов персональных данных возникают вопросы — как правильно заполнять те или иные поля уведомления. О самом уведомлении оператора персональных данных мы немного поговорим в этой статье, но вот туториал по заполнению уже тянет на отдельную.

Вас также могут попросить прислать по почте копии документов, регламентирующих защиту персональных данных в организации — приказы, инструкции, модель угроз и вот это все.

Итак, вы получили такое письмо от Роскомнадзора, что делать?

На самом деле тут проще сказать чего категорически не следует делать — игнорировать эти письма. К сожалению, на практике многие поступают именно так. Кто-то забывает ответить, кто-то не знает, что писать в ответ и не отвечает, а кто-то надеется, что про них забудут и все спустится само собой на тормозах. Нет, не забудут, не в этом случае.

Штраф по 19.7 КоАП РФ небольшой — 3-5 тысяч рублей, но тут нужно помнить, что после того как вы заплатите штраф, затребованные в изначальном письме сведения все равно придется предоставить.



Если по содержанию присланного вам письма что-то непонятно, то в конце обычно указан исполнитель письма и его контактные данные. Всегда можно позвонить и уточнить, что же регулятор все-таки от вас хочет.

Про документарные проверки, пожалуй, добавить нечего, перейдем к выездным.

Выездные проверки

Из самого названия уже становится ясно, что проверяющие как минимум два-три раза окажутся на вашей территории. По нашему опыту можем сказать, что процесс проверки выглядит примерно так:

  • проверяющие приезжают в организацию, знакомятся с руководителем, вручают ему уведомление о проверке, делают запись в журнале проверок юридического лица контролирующими органами (отсутствие такого журнала, кстати, это уже нарушение);
  • затем представители РКН просят предоставить документацию, которая имеется в организации по защите персональных данных, тут-то вы и тащите всю эту гору документов — приказы, инструкции, положения, политики, модель угроз;
  • бегло ознакомившись с составом документов, проверяющие либо просят выделить им помещение, где они будут их изучать, либо просят предоставить копии всей документации и удаляются в свои кабинеты изучать предоставленную вами информацию;
  • в процессе ознакомления с документами могут возникать вопросы по их содержанию или пожелания по внесению в них каких-либо изменений;
  • в один из дней проверки, представители РКН обязательно пройдутся по кабинетам, где обрабатываются персональные данные, осмотрят места хранения ПДн на бумажных носителях — шкафы, сейфы, полки (тут наверняка вам намекнут на необходимость приобретения запираемых железных шкафов, если ПДн хранятся как-то иначе), также могут посмотреть информационную систему;
  • в конце проверяющими делается запись в том же журнале учета проверок об итогах проверки (выявлены замечания или нет) и вручается акт по итогам проверки.

В-третьих, обязательно необходимо проинструктировать всех своих сотрудников, участвующих в обработке каких-либо персональных данных что можно, а что нельзя делать и говорить во время проверки. Например, можно обрабатывать ПДн в соответствии с инструкциями и правилами, но нельзя разбрасывать на рабочем столе копии паспортов сотрудников.

Уведомление оператора персональных данных

  • уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
  • уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
  • персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

Как проверить наличие уведомления в реестре и что делать дальше

Далее, не зависимо от того, какой результат мы получили на предыдущем этапе, нужно проверить, есть ли запись о вашей организации в реестре операторов персональных данных. Здесь легко можно найти запись в реестре по названию или ИНН организации.

Дальше ваши действия должны выглядеть примерно следующим образом.

Если организация попадает под исключения и уведомления нет — отлично, так и должно быть! Ничего не делаем.

Ну и последний вариант: организация не попадает под исключения, но уведомление в реестре есть. Хотел бы я тут написать, как и в первом случае, что ничего не нужно делать, но нет. Не зря я выше сказал, что помимо отсутствия уведомления как такового, одной из частых причин предписания по итогам проверки и выписывания штрафа по статье 13.11 КоАП РФ является несоответствие данных в уведомлении тому, что происходит на самом деле. Например, указаны не все категории обрабатываемых персональных данных или не указаны меры по обеспечению безопасности ПДн. Причин такому несоответствию может быть много, но вот две основные:

  • уведомление заполнялось давно и в организации действительно с тех пор изменились многие условия обработки персональных данных;
  • уведомление заполнялось для галочки без должного анализа ситуации и сбора информации.

Документация к проверке

Статья получилась итак достаточно объемная, поэтому разбирать из каких конкретно требований появился тот или иной документ (или раздел документа) здесь не будем. Это тема для отдельной статьи. Давайте пройдемся по общим моментам.

Состав документов

Хорошо, давайте посмотрим, что там у нас есть еще в законодательстве.

О процессе разработки Модели угроз мы, возможно, также подробнее напишем в одной из последующих статей.

Все остальное описано неоднозначно, примерно в таком духе:

Оператор обязан принимать меры… К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

И так далее. Поскольку прямого указания выпускать тот или иной документ нет, читать и понимать 152-ФЗ следует именно так: если написано про осуществление внутреннего контроля, то для выполнения этого требования должны быть разработаны документы, определяющие план, порядок такого контроля, а также некие акты или журналы, в которых отражены результаты контроля. Проверяющих не устроит рассказ о том, что вы выполнили требование по назначению ответственного за организацию обработки персональных данных просто устно обозначив такую ответственность одному из сотрудников. Должен быть документ! В этом конкретном случае — приказ о назначении такого ответственного.

Содержание документов

Хорошо, с составом документов понятно, а что там с содержанием? А с этим еще хуже. Есть редкие рекомендации регуляторов, как например здесь, но это скорее исключения. В целом здесь можно дать такие общие рекомендации:

Заключение

Давайте подытожим, что нам нужно сделать, чтобы подготовиться к проверке РКН по вопросам выполнения законодательства в сфере защиты персональных данных и успешно ее пройти.

  1. Проанализировать необходимость подачи уведомления оператора ПДн. Проверить наличие уведомления, проверить корректность информации в уведомлении. Внести изменение в уведомление, при необходимости.
  2. Провести подробную инвентаризацию обрабатываемых персональных данных, информационных систем персональных данных, законность обработки различных персональных данных, технологические процессы обработки персональных данных и т. д. Эта информация нам понадобится при разработке документов.
  3. Назначить ответственных.
  4. Разработать комплект документации по защите персональных данных. Документация должна быть конкретизированной в отношении определенной организации и/или определенной ИСПДн. Уделяя время разработке документации по защите и обработке ПДн в информационных системах, не забыть о регламентировании неавтоматизированной обработки ПДн.
  5. Опубликовать политику в отношении обработки персональных данных на сайте (хотя допускается и другой вид организации беспрепятственного доступа к документу, если вы не гос- или муниципальный орган).
  6. Ознакомить всех причастных сотрудников с разработанной документацией.
  7. Заполнить журналы.
  8. Проинструктировать своих сотрудников о том, что проверяющим не нужно говорить лишнего и о том, что не нужно разбрасывать документы с ПДн по всему офису.
  9. Вести себя корректно с проверяющими. Выразить свою готовность исправлять мелкие недочеты в процессе проверки.

А еще у нас есть учебный центр! Ближайшие курсы состоятся 20 мая и 22 мая по продуктам FortiGate. С полным списком учебных курсов можно ознакомиться здесь. Да, мы находимся во Владивостоке, но у нас есть большой опыт организации выездных курсов.

Работа с персональными данными в детском саду.

Рассказываем какие данные относятся к персональным в дошкольных учреждениях, как их собирать и хранить, чтобы пройти проверку Роскомнадзора.

Что такое персональные данные

К персональным данным относится информация, которая содержит личные сведения о человеке. Например, ФИО, адрес и семейное положение. Персональные данные встречаются практически во всей документации ДОО (ДОУ). Данные собирают у детей, родителей, сотрудников и подрядчиков.

Детский сад обязан использовать персональные данные в со ответствии с законом. Для этого нужно знать классификацию данных. Они бывают четырех видов:

1. Общие данные

Например, ФИО и дата рождения ребенка. К ним же относятся паспортные и контактные данные. Для использования этой информации не всегда требуется согласие владельца. В ДОУ (ДОО) общие данные встречаются в заявлениях на зачисление детей в садик, и в договорах найма сотрудников.

2. Специальные данные

Находятся в закрытом доступе и их можно узнать только лично у человека. Например, состояние здоровья, национальность и адрес. Такие данные встречаются в анкетах, опросниках и медицинских картах. Их можно использовать только после письменного согласия их владельца. Согласие могут давать только лица старше 14 лет, поэтому за детей согласие подписывают родители.

3. Обезличенные данные

Это информация, по которой невозможно понять к кому именно она относится. Такие данные используют в детских садах для заполнения отчетности и статистики. Например, какое количество детей посещает группу, сколько сотрудников работает в штате и сколько детей выпускается в текущем году. Эти данные можно обрабатывать без письменного согласия их владельца.

4. Биометрические данные

Это физиологические или биологические данные, с помощью которых можно установить личность. Например, отпечатки пальцев, цвет глаз или генетическая информация. В ДОУ( ДОО) эти данные не используют.

Собирая персональные данные, нужно учитывать вид этих данных и при необходимости брать согласие на их обработку от родителей и сотрудников.

Воспитатели часто спрашивают, можно ли без разрешения публиковать фото воспитанников на сайте ДОУ (ДОО). Все зависит от того, какое фото вы хотите опубликовать. Есть это коллективная съемка, разрешение не нужно. Если ребенок один на фото, нужно получить согласие. Не подписывайте имя и фамилию ребенка, чтобы его нельзя было однозначно идентифицировать.

Зачем собирают персональные данные в ДОУ (ДОО)

Собирать данные можно только с определенной целью. В детских садах выделяют три ключевые цели:

- Для проведения воспитательной и образовательной работы. Например, чтобы зачислить ребенка в группу или на дополнительные занятия.

- Для оформления нового сотрудника в штат.

- Для заключения гражданско-правовых договоров с подрядчиками. Например, с мастерами, которые будут делать ремонт в помещениях.

Могут быть и другие цели. Чтобы их выяснить, нужно проанализировать направления деятельности детского сада. Все цели сбора должны быть указаны в локальном акте - политике обработки персональных данных. По закону №152-ФЗ для каждой цели обработки персональных данных нужно получать отдельное письменное согласие. Например, подписать согласие для оказания медицинской помощи, согласие для занятий ребенка с логопедом и отдельное согласие для публикации фото и видео с участием ребенка.

Хранение персональных данных в детском саду

Где хранить данные

Персональные данные нужно хранить в надежном месте, к которому не получат доступ посторонние. Но где именно? Закон не разъясняет. Есть основные правила, которые важно соблюдать:

- Документы для разных целей нужно хранить отдельно друг от друга. Место хранения персональных данных в детском саду должно быть указано и утверждено в приказе.

- Документы в бумажном виде обычно хранят в сейфе или металлическом шкафу, который закрывается на ключ. Получить к ним доступ может ограниченный круг сотрудников.

- Документы в электронном виде хранят в закрытых папках в локальной сети. Чтобы обеспечить сохранность данных, на компьютерах должна быть установлена дополнительная защита. Например, антивирусные программы и кодирование.

Как долго хранятся данные

Хранить персональные данные можно, пока не достигнута цель их сбора. Например, данные собирали для оформления ребенка в сад, а он через 3 месяца перешел в другой детский сад. Значит, его персональные данные нужно уничтожить в течение 30 дней. Если информацию нельзя уничтожить, ее нужно обезличить. Например, заменить имя и фамилию на запись “ребенок А”.

Иногда срок хранения данных указывают в согласии на обработку персональных данных. Тогда данные нужно уничтожить как только истечет этот срок.

Как подготовиться к проверке персональных данных в ДОУ (ДОО)

Работу детских садов с персональными данными проверяют и контролируют сотрудники Роскомнадзора. Проверки бывают документарные и выездные. При документарной проверке детский сад получает письмо с просьбой предоставить копии документов. А при выездной сотрудники Роскомнадзора лично приезжают в детский сад.

Выездные проверки длятся 20-60 дней. Проверяющий несколько раз приезжает в ДОУ(ДОО), осматривает места хранения данных и проверяет документы - приказы, договора и согласия. После проверки он составляет акт.

Чтобы проверка Роскомнадзора прошла без проблем и в акте не появились нарушения, к ней следует подготовиться. За подготовку детского сада к проверке отвечает сотрудник, назначенный ответственным за обработку персональных данных в ДОУ(ДОО). Пользоваться услугами сторонних организаций запрещено.

Сотрудник должен:

1) Проверить, было ли отправлено в Роскомнадзор уведомление о начале работы с персональными данными.

2) Проверить наличие всех согласий и их актуальность. Например, если сотрудник уже уволен, то его данные должны быть уничтожены.

3) Создать комплект документов по защите персональных данных. Он состоит из регламента по защите и обработке персональных данных в информационной системе и регламент неавтоматизированной обработки персональных данных.

4) Разместить политику обработки персональных данных на сайте учреждения и в печатном виде на доске информации.

5) Ознакомить работников ДОУ с созданными документами и заполнить журнал прохождения инструктажа по информационной безопасности. Перед проверкой Роскомнадзора рекомендуем напомнить сотрудникам основные правила работы с персональными данными. Например, что нельзя оставлять договора на столе без присмотра.

6) Попросить сотрудников и родителей заполнить письменное согласие на использование их персональных данных.

8) Не переживать из-за большого количества устных претензий проверяющего - важны только те нарушения, которые он укажет в акте по итогам проверки.

За нарушения в работе с персональными данными детскому саду грозит штраф до 75 тысяч рублей. Если руководство не согласно с результатами проверки, их можно обжаловать в досудебном или судебном порядке.

Роскомнадзор проверяет всех, кто собирает персональные данные: юридических лиц, индивидуальных предпринимателей и простых людей. Инспектор должен проводить проверку по правилам. Если он их нарушит, результаты проверки можно оспорить. Рассказываем, как проходит проверка, как себя вести и как оспорить результаты.

  • Автор: Марина Сенинг
  • Иллюстратор: Ануш Микаелян
  • Редактор: Ирина Ситникова

К кому могут прийти с проверкой

Роскомнадзор проверяет людей, предпринимателей и компании, которые собирают, хранят, обрабатывают и передают чужие персональные данные.

Персональные данные — это любая информация, которая позволяет идентифицировать человека:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес прописки, проживания;
  • электронный адрес;
  • номер телефона;
  • национальность;
  • политические и религиозные убеждения;
  • биометрические данные: отпечатки пальцев, идентификация по голосу, результаты медицинских анализов, фотография.

Работодатели собирают персональные данные, когда оформляют сотрудников на работу. Авторы рассылок — когда человек подписывается на письма. Продавцы — когда просят покупателей оставить имя и номер телефона для того, чтобы отправлять предложения по скидкам.

Если вы собираете номера телефонов друзей, закон вас не касается. Но если у вас есть блог и вы собираете электронные адреса читателей для рассылки, вы становитесь оператором персональных данных.

Что проверяет Роскомнадзор

Бизнесмена могут проверить по плану, неожиданно или просто наблюдать за ним:

  1. Плановые проверки проводят только удалённо — Роскомнадзор просит прислать ему нужные документы.
  2. Внеплановые проверки всегда проводят на месте — ревизоры приезжают на работу или домой к оператору.
  3. Наблюдение за оператором — сотрудники Роскомнадзора тайно наблюдают за бизнесменом со стороны.

Плановая проверка

Роскомнадзор проводит плановую проверку раз в три года, по графику. Ищите себя в сводном плане проверок на сайте Генпрокуратуры.

Некоторых Роскомнадзор проверяет чаще — раз в два года:

  1. Если оператор собирает биометрические и специальные персональные данные: национальность, состояние здоровья, политические взгляды.
  2. Если оператор отправляет персональные данные за рубеж.
  3. Если оператор собирает персональные данные в государственных информационных системах — реестрах и инфосистемах министерств России. Например, Единая сеть обращения граждан или Реестр федерального имущества.

Что делать при плановой проверке

У оператора есть пять рабочих дней, чтобы ответить на запрос и прислать документы. Датой подачи документов считается день, когда инспектор их получил. Если оператор опоздает, Роскомнадзор придёт к нему с внеплановой проверкой.

2. Следите за сроками проверки. У инспектора есть 20 дней, чтобы провести проверку. Если их не хватит, он может продлить срок ещё на 20 дней, но только один раз. Максимальный срок проверки — 40 дней.

3. Проверьте акт проверки. Инспектор составляет акт в двух экземплярах. В акте он перечисляет нарушения или указывает, что их нет. Один экземпляр инспектор отправляет оператору по почте или электронным письмом не позднее 10 дней со дня подписания акта проверки.

Чем грозит плановая проверка

Если инспектор найдёт ошибки или неточности, он отправит оператору письмо — даст три рабочих дня на пояснения. Если оператор не ответит, Роскомнадзор придёт с внеплановой проверкой — в офис или домой к оператору.

Роскомнадзор может запретить собирать и обрабатывать персональные данные до того, как оператор исправится. Если он продолжит работать с персональными данными несмотря на запрет, его могут оштрафовать.

Внеплановая проверка

Роскомнадзор может прийти с внеплановой проверкой в любое время, но только если для этого есть основания:

Как себя вести во время внеплановой проверки

1. Проверьте документы ревизоров. Изучите удостоверения сотрудников, приказ и запрос с перечнем документов для проверки. В приказе должно быть указано, кто проводит проверку, по каким причинам, что будут делать сотрудники Роскомнадзора, сроки и условия выездной проверки. Сверьте фамилии и должности сотрудников Роскомнадзора из приказа с данными удостоверений.

2. Предоставьте информацию по запросу. Предоставьте инспекторам документы и покажите технику, перечисленную в запросе. Важно уложиться в срок, который указан в запросе — максимум два дня с момента вручения. Если во время проверки окажется, что нужны дополнительные документы, инспектор может вручить вам дополнение к запросу.

Если передаёте документы на бумаге, сделайте копии, заверьте печатью и подписью. Если отправляете их в электронном виде — подпишите электронной подписью. Если не успеваете в срок, напишите и отправьте в Роскомнадзор объяснительную.

3. Присутствуйте при проверке. Вы имеете право присутствовать при проверке, давать сотрудникам Роскомнадзора пояснения, отвечать на их вопросы.

4. Не мешайте проверяющим. В правилах сказано, что оператор должен свободно пускать ревизоров в помещение и к компьютеру, предоставлять необходимые документы. Если вы будете мешать, откажетесь показывать документы или отвечать на вопросы, сотрудники Роскомнадзора составят акт о воспрепятствовании проведению выездной проверки и через пару месяцев придут ещё раз. Если вы будете сильно мешать, могут вызвать полицию.

5. Следите за сроками. Инспектор предупреждает оператора о проверке не позднее, чем за 24 часа. Роскомнадзор может проводить внеплановую проверку не дольше 10 дней. Если нужно, срок могут увеличить еще на 10 дней, но только один раз. Максимальный срок проверки — 20 дней.

6. Проверьте правильность составления акта. В акте должна быть информация о выявленных нарушениях или об их отсутствии. Если нарушения есть, в акте должны быть указаны статьи закона и пункты нормативных актов, которые оператор нарушил.

Проверяющий составляет акт проверки в двух экземплярах и прилагает к нему справки, протоколы и пояснения оператора. Акт должны подписать представитель Роскомнадзора и оператор. Если вы откажетесь расписываться, ревизор сделает об этом пометку. Проверяющий отдаёт оператору под расписку один экземпляр акта с копиями приложений.

Оператор должен сделать пометку в журнале по учёту проверок о том, что ознакомился с актом. Если такого журнала нет, инспектор сделает об этом запись в акте.

Если оператора не будет на месте, Роскомнадзор приостановит проверку, но не более чем на месяц. Если за это время ничего не изменится и проверяющий не сможет застать оператора на месте, он составит акт о невозможности проведения проверки. В течение трёх месяцев после составления акта Роскомнадзор может прийти с проверкой ещё раз, но уже без предупреждения.

Чем грозит выездная проверка

Роскомнадзор может запретить собирать и обрабатывать персональные данные до того, как оператор исправится. Если он продолжит работать с персональными данными несмотря на запрет, его могут оштрафовать.

Наблюдение за оператором

Сотрудники Роскомнадзора могут наблюдать за оператором только по заданию. Для этого должны быть причины:

За оператором наблюдают тайно — никто его не предупреждает. Сотрудники Роскомнадзора смотрят, какую информацию оператор публикует в интернете и СМИ, какие документы отправляет в Роскомнадзор. Они могут просто посмотреть сайт и понажимать на кнопочки про согласие на обработку персональных данных.

Чем грозит наблюдение

Если сотрудники Роскомнадзора нашли нарушения, есть два варианта:

  1. Роскомнадзор присылает оператору требование уточнить, заблокировать или удалить недостоверные или полученные незаконным путём сведения. Обычно на это дают 10 дней. Если оператор не исправит нарушения, его оштрафуют.
  2. Роскомнадзор приезжает к оператору с внеплановой проверкой.

Когда проверку могут продлить

Роскомнадзор может продлить плановую проверку на 20 дней, внеплановую — на 10 дней. Увеличить срок проверки можно только один раз. Для этого должны быть причины:

  1. Во время проверки Роскомнадзор получил от правоохранительных органов документы, из которых видно, что оператор нарушает закон.
  2. На территории, где проходит проверка, произошло наводнение, затопление или пожар.
  3. Во время проверки оказалось, что нужно проверить больше документов, у компании сложная структура, сложный механизм обработки персональных данных.

Если Роскомнадзор продлевает срок проверки, он издаёт приказ и в течение трех рабочих дней отдаёт копию оператору.

Как обжаловать результаты проверки

Любое нарушение правил сотрудником Роскомнадзора — повод подать жалобу. Вы можете пожаловаться на ревизоров, если:

  1. Сотрудники Роскомнадзора не показали вам приказ о проведении проверки или свои удостоверения.
  2. К вам приехали с выездной проверкой и попросили выйти из помещения.
  3. К вам приехали с выездной проверкой и не слушают ваши объяснения.
  4. Проверка проходит дольше, чем это прописано в правилах.
  5. Вам не показали акт о результатах проверки.
  6. Роскомнадзор запретил вам собирать и обрабатывать персональные данные, а вы считаете, что ничего не нарушали.

Если вы жалуетесь на сотрудников регионального Роскомнадзора — отправляйте жалобу в региональное управления Роскомнадзора. Если жалуетесь на проверяющих из федеральной службы — в федеральный Роскомнадзор.

Сотрудники Роскомнадзора обязаны ответить в течение 30 дней со дня регистрации жалобы. Они могут согласиться с претензией полностью, частично или вообще не согласиться.

Если вы подавали жалобу в региональный Роскомнадзор и он с ней не согласился, пишите в федеральную службу. Если и там не найдёте понимания — идите в суд.

Какие штрафы грозят нарушителям

Нарушение Граждане Индивидуальные предприниматели Должностные лица Юридические лица Статья закона
Оператор незаконно собирает персональные данные или собирает те персональные данные, которые ему не нужны 1 000 ₽ – 3 000 ₽ 1 000 ₽ – 3 000 ₽ 5 000 ₽ – 10 000 ₽ 30 000 ₽ – 50 000 ₽ п 1. ст. 13.11 КоАП РФ
Оператор обрабатывает персональные данные без письменного согласия или неправильно его составил 3 000 ₽ – 5 000 ₽ 3 000 ₽ – 5 000 ₽ 10 000 ₽ – 20 000 ₽ 15 000 ₽ – 75 000 ₽ п. 2 ст. 13.11 КоАП РФ
Оператор не опубликовал документ, где сказано, как он обрабатывает и защищает персональные данные 700 ₽ – 1 500 ₽ 5 000 ₽ – 10 000 ₽ 3 000 ₽ – 6 000 ₽ 15 000 ₽ – 30 000 ₽ п. 3 ст. 13.11 КоАП РФ
Оператор не дал человеку информацию об обработке его данных 1 000 ₽ – 2 000 ₽ 10 000 ₽ – 15 000 ₽ 4 000 ₽ – 6 000 ₽ 20 000 ₽ – 40 000 ₽ п. 4 ст. 13.11 КоАП РФ
Оператор не стал исправлять, блокировать или удалять неверные, устаревшие или незаконно полученные персональные данные, несмотря на требование их владельца или сотрудника Роскомнадзора 1 000 ₽ – 2 000 ₽ 10 000 ₽ – 20 000 ₽ 4 000 ₽ – 10 000 ₽ 25 000 ₽ – 45 000 ₽ п. 5 ст. 13.11 КоАП РФ
Оператор обрабатывает персональные данные вручную, неправильно их хранит и не защищает компьютер, флешки, диски с персональными данными. В результате кто-то их уничтожил, изменил, скопировал, распространил 700 ₽ – 2 000 ₽ 10 000 ₽ – 20 000 ₽ 4 000 ₽ – 10 000 ₽ 25 000 ₽ – 50 000 ₽ п. 6 ст. 13.11 КоАП РФ
Оператор вовремя не подал нужные документы или информацию в Роскомнадзор Предупреждение или штраф 100 ₽ – 300 ₽ Предупреждение или штраф 100 ₽ – 300 ₽ Предупреждение или штраф 300 ₽ – 500 ₽ Предупреждение или штраф 3 000 ₽ – 5 000 ₽ ст. 19.7 КоАП РФ

Коротко о проверках по защите персональных данных

Роскомнадзор может прийти с проверкой к любому оператору персональных данных: в компанию, к индивидуальному предпринимателю или обычному человеку. Оператора могут проверить по плану, неожиданно или просто наблюдать за ним:

Любое нарушение проверяющими правил проведения проверок — повод обжаловать её результаты. Если Роскомнадзор не согласится с жалобой, можно подать в суд.

Читайте также: