Служба поддержки
Пн-Пт 8:00-18:00 по МСК

Проверка Роскомнадзора в сфере защиты персональных данных: требования, этапы подготовки и прохождение

Далеко не во всех организациях обработка персональных данных происходит в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» и его подзаконными актами, что является нарушением законодательства и грозит наложением штрафных санкций. Государственный контроль за соблюдением требований исполняет Роскомнадзор путем проведения профилактических мероприятий, плановых и внеплановых федеральных государственных контрольно-надзорных мероприятий и мероприятий по контролю без взаимодействия с контролируемым лицом.

Как показывает практика, в большинстве организаций работы по защите персональных данных либо не проводились совсем, либо проводились силами сотрудников, не обладающих достаточными знаниями и опытом в данном вопросе, а руководство плохо проинформировано о требованиях законодательства. Поэтому зачастую знакомство с ФЗ-152 «О персональных данных» происходит уже во время проверки Роскомнадзора.

О видах государственного контроля и том, как выполнить требования законодательства в сфере защиты персональных данных и подготовиться к проверке Роскомнадзора, рассказывают эксперты АльфаДок.

 

Содержание

  1. Когда ждать проверки Роскомнадзора?
  2. Как подготовиться к проверке?
  3. Что проверяет Роскомнадзор?
  4. Ответственность за нарушение законодательства

 

Когда ждать проверки Роскомнадзора

С 1 июля 2021 года вступило в силу постановление Правительства РФ № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных» от 29 июня 2021 года. Документ определяет новый порядок организации и осуществления федерального государственного контроля (надзора) Роскомнадзором за обработкой персональных данных.

При осуществлении государственного контроля за обработкой персональных данных Роскомнадзором могут проводиться профилактические мероприятия (информирование, обобщение правоприменительной практики, объявление предостережения, консультирование, профилактический визит). Если в ходе обязательного профилактического визита будут обнаружены нарушения требований законодательства в области обработки персональных данных, регулятор может принять решение о проведении внеплановых контрольных мероприятий в отношении организации.

Федеральный государственный контроль осуществляется посредством проведения следующих мероприятий:

  • инспекционный визит;
  • документарная проверка;
  • выездная проверка.

Проверка соблюдения оператором (организацией, осуществляющей обработку персональных данных) требований по обработке персональных данных проводится не более 10 дней (независимо от вида надзорного мероприятия). Регулятор уведомляет организацию о проверке за 24 часа до начала проверки путем направления копии приказа о проверке (как правило, по электронной почте).

Федеральный государственный контроль за обработкой персональных данных осуществляется путем проведения плановых и внеплановых контрольных мероприятий.  

Плановые контрольно-надзорные мероприятия проводятся с учетом риск-ориентированного подхода. Для этого регулятор составляет перечень объектов контроля, учитываемых в рамках формирования ежегодного плана контрольных (надзорных) мероприятий, и относит деятельность организаций в области обработки персональных данных к определенной категории риска.

Категория риска присваивается организации в зависимости от потенциальных негативных последствий, к которым может привести деятельность организации в области обработки персональных данных. Сводный перечень объектов контроля с указанием категории риска публикуется на официальном сайте Роскомнадзора.

Периодичность проведения плановых контрольных (надзорных) мероприятий зависит от присвоенной категории риска (п.12 Постановление Правительства РФ от 29 июня 2021 г. № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных):

 

Категория риска

Вид контрольного мероприятия

Периодичность

высокий

инспекционный визит или выездная проверка

один раз в 2 года

значительный

инспекционный визит или выездная проверка

один раз в 3 года

средний

инспекционный визит или документарная проверка, или выездная проверка

один раз в 4 года

умеренный

документарная проверка или выездная проверка

один раз в 6 лет

низкий

-

плановые контрольные мероприятия не проводятся

 

Организация может попасть в перечень объектов контроля с высоким, значительным, средним или умеренным риском, если в ней обрабатываются специальные или биометрические категории персональных данных; осуществляется трансграничная передача персональных данных на территорию государства, которое не обеспечивает необходимую защиту данных; осуществляется обработка несовершеннолетних лиц в случаях, не предусмотренных законодательством; осуществляется сбор персональных данных с использованием иностранных программ и сервисов и т.д.

Ежегодно в конце декабря территориальные управления Роскомнадзора публикуют на своих официальных сайтах план проведения плановых контрольных (надзорных) мероприятий, согласованный с органами прокуратуры. Проверить, попала ли Ваша организация в такой план на очередной год, можно на сайте управления Роскомнадзора соответствующего региона.

Внеплановые контрольные (надзорные) мероприятия проводятся по основаниям, предусмотренным пунктами 1, 3-6 части 1 и части 3 статьи 57 Федерального закона № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» 31 июля 2020 года. Чаще всего такие мероприятия проводятся в случае выявления нарушений в действиях оператора и поступления в Роскомнадзор обращений и жалоб граждан на незаконную обработку персональных данных. Только за 2021 год в Роскомнадзор поступило более 38 тысяч жалоб граждан на незаконную обработку персональных данных. А также, например, в случае установления Роскомнадзором 3 и более фактов несоответствия информации, указанной Оператором в уведомлениях, подлежащих направлению регулятору в соответствии с частью 3 статьи 12 и частью 1 статьи 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», сведениям, размещенным на принадлежащем Оператору сайте.

 

О внеплановой проверке Роскомнадзора организация узнает только за 24 часа до ее начала, сведения о таких проверках заранее нигде не публикуются. Поэтому рекомендуем выполнять все требования законодательства к обработке персональных данных и своевременно актуализировать организационно-распорядительную документацию.

 

Также в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований Роскомнадзор проводит мероприятия по контролю без взаимодействия с контролируемым лицом. К таким мероприятиям относится, например, наблюдение за соблюдением требований законодательства при размещении информации в сети «Интернет».

Под наблюдением следует понимать, что сайт Вашей организации будет периодически проверяться на отсутствие нарушений требований ФЗ-152 «О персональных данных»: например, опубликована ли Политика в отношении обработки персональных данных или не размещены ли личные данные сотрудников без их согласия на обработку персональных данных, разрешенных ими для распространения (ФИО, фотография, должность). 

Мероприятия по контролю без взаимодействия с контролируемым лицом могут быть как плановыми, так и внеплановыми. Сведения о плановых мероприятиях по контролю за обработкой персональных данных, проводимых без взаимодействия с контролируемым лицом, публикуются в планах деятельности территориальных управлений Роскомнадзора на очередной год (как правило, в пункте 3 раздела I.I). Если в ходе таких мероприятий будут выявлены нарушения, то регулятор выдаст организации предписание об устранении нарушений в течение 10 рабочих дней и, возможно, организует внеплановую проверку.

 

Как подготовиться к проверке

Поскольку подготовка к проверке и её прохождение требуют знаний законодательства и требований регуляторов, то зачастую организации прибегают к привлечению специалистов со стороны, которые соберут всю необходимую информацию, разработают документацию и проследят за ее утверждением. Однако в нормативную базу регулярно вносятся изменения, а требования контролирующих органов расширяются. При этом в самой организации тоже постоянно происходят изменения: меняется кадровый состав, структура организации, техническое оснащение. Документация же должна быть актуальна на текущий день, что потребует повторных обращений к специалистам и, как следствие, регулярных платежей за обновление документации.

Теоретически подготовиться к проверке можно самостоятельно. Однако отсутствие квалифицированных специалистов, знаний тонкостей законодательства, опыта прохождения проверки препятствуют успешному прохождению проверки и приводят к выдаче предписаний по устранению нарушений по итогам контрольно-надзорного мероприятия и наложению штрафов.

В последнее время активное распространение получили специальные сервисы, позволяющие автоматизировать процессы по защите информации и поддерживать документацию в актуальном состоянии. Одним из таких сервисов является ПК «АльфаДок». Сотрудник вносит необходимую информацию, и программный комплекс автоматически формирует весь пакет документов, готовый для выгрузки и утверждения. При возникновении вопросов можно обратиться в Службу поддержки, эксперты которой проконсультируют по вопросам использования программного комплекса и подскажут, какие шаги необходимо выполнить в случае проверки или обращений граждан.

В целом процесс подготовки к проверке состоит из следующих шагов:

  1. Проведение внутреннего аудита для анализа процессов обработки персональных данных в организации.

В рамках аудита необходимо определить:

  • Перечень информационных систем, в которых обрабатываются персональные данные (ИСПДн). В школах такими могут быть системы «Кадровый учет», «Бухгалтерский учет» и «Школа», в состав которой входят программные комплексы, обрабатывающие персональные данные обучающихся, преподавателей и других сотрудников.
  • Цели обработки. К примеру, для медицинских организаций основными целями являются выполнение требований законодательства в сфере здравоохранения и оказание медицинских услуг населению.
  • Персональные данные, которые обрабатываются в организации. Например, ФИО, дата рождения, адрес, фотографии, семейное положение, место работы, сведения о состоянии здоровья. Такой перечень может содержать около ста видов сведений.
  • Категории субъектов, персональные данные которых обрабатываются в организации (сотрудники, клиенты, граждане).
  1. Назначение лиц, ответственных за организацию обработки и за обеспечение безопасности персональных данных.

Необходимо назначить ответственного за организацию обработки персональных данных, как правило, это сотрудник из числа руководящего состава организации (директор или заместитель директора) или сотрудник отдела кадров. В качестве ответственного за обеспечение безопасности персональных данных обычно назначают технического специалиста. 

  1. Разработка и утверждение необходимой документации.

ФЗ-152 «О персональных данных» не регламентирует наименования документов, но определяет, какие процессы по обработке персональных данных должны быть оформлены документально. Разрабатываемый в АльфаДок пакет документов по защите персональных данных включает в себя более 20 документов (с перечнем документов можно ознакомиться в разделе «Нормативно-правовая база»).

Пакет документов обязательно должен включать в себя Политику в отношении обработки персональных данных. Это основной документ, определяющий все отношения, связанные с обработкой персональных данных в организации. Политика должна быть размещена в общедоступном месте, чтобы каждый желающий мог с ней ознакомиться, поэтому мы рекомендуем обязательно опубликовать её на официальном сайте.

  1. Подача уведомления о намерении осуществлять обработку персональных данных в Роскомнадзор.

Уведомление об обработке персональных данных можно отправить в электронном виде с сайта Роскомнадзора или из АльфаДок, где оно автоматически формируется из введенных ранее сведений. Распечатанную электронную форму необходимо направить по почте в Управление Роскомнадзора Вашего региона. В течение 30 дней организация будет внесена в реестр операторов персональных данных. В случае изменений необходимо обязательно уведомить Роскомнадзор, подав уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных. При формировании уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, в АльфаДок перечень изменений генерируется автоматически.

 

Обратите внимание! Эксперты ООО НПЦ «КСБ» разработали методический материал по видам уведомлений, которые оператор обязан направлять в адрес Роскомнадзора.

 

Что проверяет Роскомнадзор

В первую очередь представители Роскомнадзора проверят, направляла ли Ваша организация Уведомление об обработке персональных данных и соответствует ли информация в нем действительности. Поэтому очень важно своевременно уведомлять Роскомнадзор о произошедших изменениях, например, о смене ответственного лица или цели обработки.

Представители Роскомнадзора обязательно изучат документацию по защите персональных данных в организации и проверят ее содержимое на предмет выполнения требований законодательства. В соответствии с требованиями,  организация обязана проводить периодические внутренние проверки режима обработки и защиты персональных данных, уничтожать персональные данные по достижении цели обработки, обеспечить безопасность носителей данных и организовать контролируемый доступ в помещения, в которых размещены информационные системы персональных данных, собрать с сотрудников обязательства о неразглашении конфиденциальной информации, ознакомить их с внутренними документами, регламентирующими обработку персональных данных, завести и регулярно заполнять необходимые журналы и выполнять иные мероприятия, обозначенные в ФЗ-152 «О персональных данных» и подзаконных нормативно-правовых актах. Выполнение всех мероприятий должно быть документально оформлено.

Регулятор захочет ознакомиться с формой согласия на обработку персональных данных. Такую форму могут подписывать как субъекты персональных данных, так и их законные представители (чаще всего один из родителей)В случае передачи организацией данных третьему лицу (например, банку, охранному предприятию, централизованной бухгалтерии) форма должна содержать согласие субъекта на поручение обработки такому лицу, а в заключенном с третьим лицом договоре отдельным пунктом обязательно должны быть прописаны условия конфиденциальности.

Также представители Роскомнадзора могут запросить для ознакомления форму согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, если на сайте организации публикуются персональные данные работников или иных субъектов. Такое согласие должно оформляться отдельно от иных согласий, а его содержание должно удовлетворять Требованиям, утвержденным приказом Роскомнадзора от 24 февраля 2021 года № 18.

Особое внимание уделяется обработке специальных категорий персональных данных, к которым, в том числе, относится информация о состоянии здоровья и интимной жизни. Специальные категории персональных данных должны обрабатываться строго с письменного согласия субъекта или его законного представителя за исключением случаев, предусмотренных ст.10 ФЗ-152 «О персональных данных».

Роскомнадзор также обратит внимание на выполнение Положения о локализации хранения персональных данных, вступившего в силу с 1 сентября 2015 года. Это означает, что информация о местонахождении баз данных должна быть указана в Политике и уведомлении или в уведомлении об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, если уведомление было отправлено ранее.

Еще одним важным требованием является ознакомление сотрудников с положениями законодательства РФ о персональных данных и локальными актами организации по вопросам обработки персональных данных. Во время проверки Роскомнадзор потребует предоставить соответствующие формы ознакомления.

 

О типовых нарушениях требований по защите персональных данных и как их избежать можно прочитать здесь.

 

Ответственность за нарушение законодательства

Если во время проверки обнаружены нарушения, то Роскомнадзор оформит акт о выявлении нарушений с предписанием об их устранении и передаст информацию в суд.

Кодекс об административных правонарушениях предусматривает за нарушение в области персональных данных штрафы на должностное лицо в размере до 200 000 рублей, на юридическое лицо – до 6 000 000 рублей. При повторном правонарушении суммы возрастают. Следует иметь в виду, что срок давности привлечения к административной ответственности за нарушение законодательства РФ в области персональных данных согласно Федеральному закону от 24.02.2021 № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» был увеличен с 3 месяцев до 1 года.

За нарушение неприкосновенности частной жизни, отказ в предоставлении информации или неправомерный доступ к компьютерной информации по Уголовному кодексу РФ возможно наложение штрафа до 500 000 рублей, исправительные или принудительные работы, лишение права занимать определенные должности или заниматься определенной деятельностью, а также лишение свободы.

 

Подробнее об ответственности, предусмотренной за нарушение требований закона «О персональных данных», Вы можете прочитать в этой статье.

 

В целом секрет успешного прохождения проверки состоит из разработки полного комплекта документации, его регулярной актуализации и изучения опыта прохождения проверок другими организациями аналогичной сферы деятельности (результаты проведения проверок публикуются на сайтах региональных управлений Роскомнадзора). В случае если уверенности в собственных ресурсах для подготовки к проверке нет, мы рекомендуем обратиться к профессионалам.