Хорошие юристы

Защита в суде

Как подготовиться к проверкам Роскомнадзора

Опубликовано: 29 апреля, 2023 Категория: Гражданское право Комментариев нет

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как подготовиться к проверкам Роскомнадзора». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Уведомление оператора персональных данных
2. Что проверяет Роскомнадзор?
3. Как проверяет Роскомнадзор?
4. Штрафы за неуведомление Роскомнадзора
5. Кого проверяет Роскомнадзор
6. Что такое персональные данные
7. Что такое персональные данные
8. Регламент проведения проверок обращения с персданными
9. Фотографии работников без отдельного согласия использовать запрещено
10. Компания вправе по запросу адвоката выдать копию трудовой книжки супругу
11. Что именно будут проверять
12. Уведомление оператора персональных данных
13. Лайфхак по успешному прохождению проверки Роскомнадзора
14. Как проходит проверка Роскомнадзора по защите персональных данных
15. Советы предпринимателям
16. Провеки Государственной инспекции труда

Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.

Уведомление оператора персональных данных

Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:

  • уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
  • уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
  • персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

Что проверяет Роскомнадзор?

Предметом государственного контроля являются:

  1. Документы, характер информации в которых предполагает или допускает включение в них персональных данных.
  2. Проверка сведений, содержащихся в уведомлении об обработке ПДн:
    • договоры с внешними организациями,
    • проездные документы и бронирование гостиниц при организации командировок,
    • добровольное медицинское страхование,
    • обеспечение телефонной связью,
    • заработная плата сотрудникам,
    • изготовление визитных карточек.

    Как проверяет Роскомнадзор?

    Существуют плановые и внеплановые проверки, которые проводятся как в отношении тех организаций, которые включены в реестр Роскомнадзора, так и тех, что не включены. Плановые проверки более безобидные, так как о том, что вас проверят, оповестят заранее (не позднее чем за три дня), а по внеплановым проверкам — всего за 24 часа. Роскомнадзор в конце каждого года публикует на своем сайте план проверок на следующий календарный год и проверяет в соответствии с ним.

    Для организации все начинается с уведомления, которое приходит по почте России. В нем Роскомнадзор уведомляет о намерении проверить и кратко сообщает, что именно будет проверять. Также в уведомлении сообщается состав проверочной комиссии, дата и срок выездной проверки. Срок проверки обычно составляет 20 рабочих дней, но это не значит, что все 20 дней у вас будет сидеть комиссия, а говорит лишь о дедлайне проверки. Комиссия, как правило, приезжает всего 2-3 раза: первый раз — запросить документы, второй раз — забрать документы и третий раз — выдать акт о проверке с замечаниями и предписанием на устранение нарушений. Нередко сразу выписываются протоколы об административных правонарушениях.

    По факту объем запрашиваемых документов и методика самой проверки сильно варьируются в зависимости от того или иного территориального управления Роскомнадзора.

    Кратко порядок проверки выглядит так:

    1. Уведомление оператора о проведении плановой проверки путем направления копии приказа руководителя Роскомнадзора о проверке почтой России. Уведомление должно поступить оператору не позднее трех рабочих дней до начала ее проверки (при плановой проверке), что очень мало, чтобы успеть к ней подготовиться.
    2. Далее в указанный в уведомлении день проверки приезжает комиссия, как правило, в составе 2-3 человек для осуществления государственного контроля.
    3. На месте проверки комиссия запрашивает и рассматривает документы, имеющиеся у оператора «под рукой», и выдает список документов для предоставления оператором до окончания срока проверки. Непредоставление оператором запрошенных документов расценивается как несоответствие требованию закона, и выписывается штраф, а также предписание на устранение нарушений.
    4. По результатам рассмотрения представленных оператором к проверке документов Роскомнадзор составляет акт проверки, предписание об устранении выявленных нарушений, а также протоколы об административных нарушениях в отношении оператора.
    5. По окончании срока предписания об устранении выявленных нарушений назначается повторная внеплановая проверка. В случае неустранения нарушений деятельность организации приостанавливается.

    Штрафы за неуведомление Роскомнадзора

    Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

    Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

    Кого проверяет Роскомнадзор

    В соответствие с Положением о Роскомнадзоре (постановление Правительства №228 от 16.03.2009 года), Служба осуществляет контроль и надзор деятельности операторов персональных данных в части выполнения ними требований действующего законодательства.

    Оператор персональных данных (ОПД) – любая организация, ИП, физлицо, федеральных или муниципальный орган власти, который каким-либо образом взаимодействует с личной (персональной) информацией третьих лиц.

    В состав персональной информации включаются:

    • паспортные данные;
    • ИНН;
    • место проживания;
    • информация о составе семьи;
    • данные о фактическом местонахождении;
    • банковские реквизиты;
    • личная информация из автобиографии.

    Таким образом, Роскомнадзор вправе проверить:

    • любого работодателя, который консолидирует личную информацию о сотрудниках;
    • компанию сферы ИТ, которая занимается обработкой персональных данных пользователя;
    • фирму, которая собирает заявки от клиентов путем анкетирования (в том числе через интернет-сайт или электронную почту).

    Порядком предусмотрено проведение Роскомнадзором как плановых, так и внеплановых проверок. Плановые проверки осуществляются согласно утвержденному графику. Внеплановые проверки могут проводится на основании жалоб, поступивших в Роскомнадзор в части нарушения ОПД требований действующего законодательства.

    Что такое персональные данные

    Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.

    Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.

    Важно! Если согласия нет, могут последовать наказания – штрафы, блокировка сайта, приостановка работы, отзыв лицензии.

    Что такое персональные данные

    Закон от 27.07.2006 № 152-ФЗ «О персональных данных» относит к ним любую личную информацию о физическом лице. Но конкретных указаний, какие сведения нужно считать личными, он не дает.

    Роскомнадзор в Методических рекомендациях, утвержденных приказом от 30.05.2017 №94 разъясняет, что к персональным данным относятся в частности:

    • паспортные данные: ФИО, дата и место рождения, адрес регистрации;

    • социальное и семейное положение;

    • имущество и размер дохода;

    • образование и профессия;

    • национальность, религия, политические взгляды;

    • биометрические данные, которые позволяют установить личность.

    Но список не ограничен информацией в приказе №94. К личным данным относят и другие сведения, позволяющие идентифицировать человека. Например, номер телефона, если он принадлежит конкретному физическому лицу, заключившему договор с оператором связи.

    Адрес электронной почты можно отнести к персональным данным, только если он включает в себя личную информацию, например: ФИО или дату рождения — например, адрес вида [email protected].

    Все юридические и физические лица, которые собирают и обрабатывают личную информацию, называются операторами персональных данных. Их деятельность в этой области контролирует Роскомнадзор.

    Процедура инспекции зависит от ее типа, основными являются следующие:

    • Плановые. В конце года составляется график проведения инспекций на следующий период, и эта информация публикуется на официальном сайте уполномоченного органа. За три дня до начала инспекции проверяемая организация предупреждается лично или письмом.
    • Внеплановые. Такие мероприятия осуществляются после поступивших жалоб. В зависимости от степени серьезности нарушения о визите инспекторов могут сообщить за сутки или вовсе не предупредить.
    • Документарные. Контролирующий орган запрашивает необходимые документы, которые руководитель предприятия обязан предоставить в определенные сроки.
    • Выездные. Территория организации осматривается сотрудниками уполномоченного органа.

    Такие инспекции могут проводиться как Роскомнадзором, так и ФСБ.

    Регламент проведения проверок обращения с персданными

    Правительство РФ утвердило правила проверок организаций на предмет того, не нарушают ли они закон при обработке персональных данных своих сотрудников и клиентов-физлиц.

    Объект проверки

    Проверять будут юрлиц и ИП, являющихся операторами персданных.

    Таким образом, контролю подвергнут работодателей, поскольку они являются операторами персданных.

    Виды проверок

    Ревизии могут проходить в виде:

    1. плановых проверок – выездных и документарных;
    2. внеплановых проверок – выездных;
    3. мероприятий без взаимодействия инспекторов с операторами.

    Плановые проверки

    Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.

    Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.

    В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.

    Внеплановые проверки

    Проводятся на основании:

    • обращений граждан;
    • по требованию прокурора;
    • в случае неисполнения оператором предписания.

    Уведомление компании

    Роскомнадзор должен уведомить фирму:

    • о проведении плановой проверки – не позднее чем за 3 рабочих дня:
    • о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.

    Способ уведомления – направление копии приказа о проведении проверки (либо-либо):

    • заказным письмом с уведомлением о вручении;
    • электронным документом с усиленной квалифицированной электронной подписью на электронную почту.

    Что будут проверять

    Инспекторы проверят:

    • документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 закона о персданных;
    • обработку персданных на предмет ее соответствия установленным требованиям;
    • информационные системы персданных.

    Фотографии работников без отдельного согласия использовать запрещено

    Роскомнадзор по итогам плановой проверки выписал организации (бассейну) предписание с требованием прекратить использование на пропусках клиентов их фотографий.

    Нарушение заключалось в том, что бассейн не заручился отдельными письменными согласиями пловцов на обработку их биометрических персональных данных в виде фотоизображений (ст. 11 закона № 152-ФЗ).

    Организация возразила:

    1. посетители бассейна давали общее согласие на обработку их персданных;
    2. фотографии к своим пропускам люди прикрепляли добровольно;
    3. пока они плавали, предприятие не занималось цифровой или текстовой обработкой этих фотографий;
    4. закон не относит фотографическое изображение гражданина на бумажном носителе к биометрическим персональным данным, в связи с чем бассейн может использовать фото посетителей и с их устного согласия.

    Судьи с этим не согласились.

    В соответствии со ст. 11 закона № 152-ФЗ биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

    Истолковав данное Определение, суд пришел к выводу, что фотографическое изображение, содержащиеся на документе «Пропуск», является биометрическими персональными данными, поскольку характеризует физиологические и биологические особенности человека, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска.

    Компания вправе по запросу адвоката выдать копию трудовой книжки супругу

    Бывшая сотрудница подала иск к своему бывшему работодателю, потребовав признать незаконными его действия по передаче копии ее трудовой книжки адвокату ее бывшего мужа.

    Адвокат использовал этот документ в качестве доказательства в процессе о взыскании алиментов.

    Истица своего согласия на передачу копий трудовой книжки третьим лицам не давала.

    Таким образом, компания нарушила ст. 3 закона о персональных данных и ст. 87, 88 Трудового кодекса РФ, не обеспечив сохранность ее персданных и неправомерно передав их без согласия и судебного запроса неуполномоченному лицу.

    Однако суд решил, что адвокат является именно уполномоченным лицом.

    Запрос был сделан на основании п. 1 ч. 3 ст. 6 Закона от 31.05.2002 № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации». Данная норма дает право собирать адвокату сведения, необходимые для оказания юрпомощи, в том числе запрашивать справки, характеристики и иные документы не только у госорганов, но и организаций. Они обязаны выдать адвокату запрошенные им документы или их заверенные копии в месячный срок со дня получения запроса адвоката.

    Кроме того, в запросе адвокат указал, что сведения о трудовой деятельности ему необходимы для предъявления в суд в качестве доказательств по гражданскому делу, рассматриваемому в закрытом судебном заседании, и гарантировал соблюдение режима конфиденциальности представленных сведений.

    Компания, в свою очередь, направляя копию трудовой книжки, указала в сопроводительном письме, что использовать полученные персональные данные работника он может исключительно для целей, указанных в его запросе, с соблюдением режима секретности (конфиденциальности).

    Таким образом, нормы права не были нарушены.

    В соответствии с п. 2 и 3 ч. 1 ст. 6 закона о персональных данных обработка персданных истца осуществлялась в целях обеспечения права на представление доказательств по гражданскому делу.

    Что именно будут проверять

    Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

    СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

    Роскомнадзор осуществляет контроль над следующими направлениями:

    • Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
    • Системы, осуществляющие обработку данных (ПК и программы).
    • Наличие локальных нормативных актов.
    • Исполнение положений этих актов.
    • Сайт организации.

    Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.

    Уведомление оператора персональных данных

    Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:

    • уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
    • уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
    • персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

    Стоит заметить, что и здесь есть подводные камни. Например, сейчас многие организации, особенно государственные, реализуют зарплатные проекты по перечислению кровнозаработанных рублей сотрудникам прямиком на банковские карты. Это очень удобно и для работодателей и для сотрудников, и банку тоже выгодно. Но при осуществлении такого проекта, как ни крути, приходится передавать данные своих сотрудников в банк. И такая передача персональных данных третьим лицам уже не регламентируется трудовым законодательством, а значит, первое исключение из списка выше не работает, следовательно, нужно подавать уведомление об обработке персональных данных в Роскомнадзор.

    Лайфхак по успешному прохождению проверки Роскомнадзора

    Для успешного прохождения проверки Роскомнадзора необходимо учесть следующие основные моменты:

    1. Роскомнадзор проверят отдельно автоматизированную (в компьютерных системах) и не автоматизированную (бумажную) обработку персональных данных. Внутренние ОРД должны быть разработаны по обоим направлениям отдельно.
    2. Роскомнадзор на проверке запрашивает не все абсолютно договоры с контрагентами, а по определенным категориям (см. выше «Что проверяет Роскомнадзор?»). Поэтому стоит позаботиться о том, чтобы как минимум по 1-2 договору по каждому направлению у вас были идеальными (соответствовали требованию закона в части передачи права обработки и возложения обязанности по защите персональных данных) или имелись соответствующие дополнительные соглашения к данным договорам.
    3. Роскомнадзор при проведении проверки руководствуется административным регламентом по данной процедуре проверки, который размещен на официальном сайте Роскомнадзора. Рекомендуется с ним как следует ознакомиться перед прохождением проверки.
    4. Обязательно необходимо перед проверкой сделать самооценку по статьям 18.1 и 19 закона и оперативно разработать необходимые документы (см ниже «Какие документы запрашивает Роскомнадзор на проверке»).
    5. Роскомнадзор проверяет не только обработку персональных данных оператором, но и обработку персональных данных при организации пропускного режима и охраны территории оператора, даже если эту функцию выполняет внешняя организация.

    Как проходит проверка Роскомнадзора по защите персональных данных

    Программа предусматривает поэтапное взаимодействие:

    • предприятие получает уведомление (при плановой проверке – за 3 дня, при внеплановой – за сутки), в нём указывается дата проведения и номер приказа;
    • при документарной проверке (только плановой) высылается запрос и перечень документов, которые нужно представить. Руководитель высылает копии, заверенные своей подписью;
    • при выездной проверке (плановой или внеплановой, может следовать за документарной, если выявлены недочёты) приезжают два инспектора, которые проверяют соответствие документов реальному положению дел;
    • контролирующий орган выносит решение и даёт предписания;
    • предприятие выполняет предписания.

    Важно! Если предписания выполнены в срок, предприятие продолжает свою деятельность без взысканий.

    Советы предпринимателям

    Во время проверки:

    1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
    2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
    3. Не паникуйте;
    4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
    5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
    6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
    7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

    Провеки Государственной инспекции труда

    В Трудовом Кодексе РФ 14 глава называется: «Защита персональных данных работника». Государственная инспекция труда проводит контрольно-надзорные мероприятия по поводу выполнения требований всего Трудового кодекса и, соответственно, не может обойти стороной главу 14. На проверках обращают внимание на требование пункта 8 статьи 86: «работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области». Таким образом, проверяют наличие такого документа и факт ознакомления с ним всех работников.

    Административная ответственность за нарушение этих требований предусмотрена статьей 5.27. КоАП — штраф в размере от 30 000 до 50 000 рублей.


    Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *