Персональные данные: готовимся к проверке

Правильно разработанная юридическая документация поможет свести к минимуму риск, что компанию обвинят в нарушении законодательства о персональных данных. Список необходимых документов включает:

  • Политику конфиденциальности.
  • Правила работы с персональными данными.
  • Согласие на обработку персональных данных.
  • Обязательство о неразглашении персональных данных.

В разделе мы расскажем об этих документах подробнее.

Политика конфиденциальности и правила работы с персональными данными. В документах многих компаний содержится одна и та же ошибка: правила работы с персональными данными они называют политикой конфиденциальности. Однако это разные документы.

Правила работы с персональными данными должны содержать то, что рекомендует Роскомнадзор и требует 152-ФЗ. Политика конфиденциальности шире: документ описывает работу со всей конфиденциальной информацией, в том числе с персональными данными. В политику добавляют то, что нужно защитить дополнительно. Например, это договоры, переписка с клиентами и партнёрами, внутренняя документация.

Два документа можно объединить в один, это не противоречит законодательству. Когда пользователи регистрируются на сайте, их нужно познакомить с политикой конфиденциальности и правилами работы с персональными данными до процедуры регистрации.

Персональные данные: готовимся к проверкеПолитику конфиденциальности публикуют в открытом доступе, обычно в подвале (внизу) сайта. Скриншот: сайт Skillbox

Согласие на обработку персональных данных. Форма, которую должен заполнять субъект персональных данных. В ней обязательно должны быть сведения об информационных ресурсах оператора.

Это адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы.

Нужно указать адреса всех сайтов, которые будут обрабатывать сведения о пользователях.

Согласие должно быть написано чёткими и ясными фразами, чтобы пользователь понял, кому и в каких случаях вы можете передавать его данные.

Ошибкой будет написать что-то вроде «Пользователь ознакомлен и согласен с тем, что передача его персональных данных может осуществляться маркетплейсом в объёме, необходимом для получения Пользователем доступа к Платформе, любым третьим лицам, в том числе осуществляющим техническое обслуживание сайта и поддержку Пользователя».

Если собираете данные только в интернете, достаточно прописать в политике конфиденциальности случаи, в которых пользователь выражает согласие на обработку. Например, если он заполняет чекбокс.

Шаблон Согласия на обработку персональных данных

Персональные данные: готовимся к проверкеПример, как можно прописать согласие на обработку в политике конфиденциальности. Скриншот: сайт Skillbox

Обязательство о неразглашении персональных данных. Документ обязывает работников не разглашать персональные данные, полученные компанией. Его должны подписывать все сотрудники, у которых есть доступ к сведениям о клиентах.

Шаблон Обязательства о неразглашении персональных данных

Приказ о назначении ответственного за работу с персональными данными. Внутренний документ. Его не нужно нигде публиковать, но Роскомнадзор может попросить его при проверке. Как правило, ответственным назначают IT-специалиста или сотрудника службы безопасности.

Важно! Если на сайте можно зарегистрироваться, нужно знакомить пользователей с политикой конфиденциальности и получать согласие на обработку персональных данных перед тем, как он отправит анкетные сведения.

Ркн начинает проверку работодателей по защите персональных данных. как подготовиться

Персональные данные: готовимся к проверке

С этого года все работодатели должны быть готовы к проверкам соблюдения ими правил обработки персональных данных. Такие проверки будет проводить Роскомнадзор. Уже готов и вступил в силу регламент данных ревизий. В связи с этим предлагаем ознакомиться с типичными нарушениями, которые могут быть выявлены при подобных проверках, с тем, чтобы не допустить их у себя.

Регламент проведения проверок обращения с персданными

  • Правительство РФ утвердило правила проверок организаций на предмет того, не нарушают ли они закон при обработке персональных данных своих сотрудников и клиентов-физлиц.
  • Объект проверки
  • Проверять будут юрлиц и ИП, являющихся операторами персданных.
  • Таким образом, контролю подвергнут работодателей, поскольку они являются операторами персданных.
  • Виды проверок
  • Ревизии могут проходить в виде:
  1. плановых проверок – выездных и документарных;
  2. внеплановых проверок – выездных;
  3. мероприятий без взаимодействия инспекторов с операторами.

Плановые проверки

Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.

Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.

В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.

Внеплановые проверки

Проводятся на основании:

  •  обращений граждан;
  •  по требованию прокурора;
  •  в случае неисполнения оператором предписания.

Уведомление компании

Роскомнадзор должен уведомить фирму:

  •  о проведении плановой проверки – не позднее чем за 3 рабочих дня:
  •  о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.

Способ уведомления – направление копии приказа о проведении проверки (либо-либо):

  • заказным письмом с уведомлением о вручении;
  • электронным документом с усиленной квалифицированной электронной подписью на электронную почту.

Что будут проверять

Инспекторы проверят:

  • документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 закона о персданных;
  • обработку персданных на предмет ее соответствия установленным требованиям;
  • информационные системы персданных.
  1. Мероприятия без взаимодействия с компанией
  2. Такие мероприятия проводятся на основании заданий на их проведение, утверждаемых руководителем органа Роскомнадзора.
  3. К данным мероприятиям относится контроль за соблюдением компанией требований при размещении информации в сети Интернет и СМИ, а также в федеральных государственных информационных системах.

Постановление Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»

Примечание редакции:

По итогам таких проверок могут накладываться штрафы по ст. 13.11 КоАП РФ: санкции на юрлиц – от 30 до 75 тыс. рублей. 

Что работодатель должен и не должен знать о работнике

В Трудовом кодексе РФ нет конкретного перечня сведений, относящихся к персональным данным работника. Равно как и нет его и в Законе «О персональных данных». В этом документе есть только их Определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Соответственно, в законодательстве отсутствует список сведений, которые работодатель вправе собирать и хранить в отношении каждого работника.

Вместе с тем в ст. 65 ТК РФ приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу. По этим документам можно понять, какие сведения о работниках компания получает, и соответственно, имеет право обрабатывать, а каких сведений в ее распоряжении оказаться не должно.

Что у компании должно быть

Итак, при приеме на работу работодатель получает персональные данные работника, а именно:

  •  Ф.И.О., возраст, место жительства, семейное положение (из паспорта);
  •  трудовой стаж и предыдущие места работы (из трудовой книжки);
  •  регистрация в органах ПФР (из карточки СНИЛС);
  •  отношение работника к воинскому учету (из документов воинского учета);
  •  образование и квалификация (из дипломов, аттестатов, свидетельств об образовании);
  •  судимость (из справки о ее наличии или отсутствии);
  •  употребление наркотиков (из справки, подтверждающей или опровергающей этот факт).

Чего быть не должно

Требовать от работника другие документы кодекс запрещает, поэтому иных персональных данных сотрудника у организации быть не должно – например, свидетельств о рождении и браке (по крайней мере, при приеме на работу они не требуются).

Также компания не вправе настаивать на том, чтобы сотрудник при заполнении личной карточки (форма утверждена Постановлением Госкомстата РФ от 05.01.2004 № 1 и, кстати, уже давно необязательна), указывал в ней сведения о составе своей семьи, местах рождения и работы своих родственников, номера их телефонов и так далее.

Исключение сделало только для иностранцев и госслужащих. Для них дополнительные документы для трудоустройства определены отдельными федеральными законами.

Кроме того, фирма не должна хранить копии документов, перечисленных в ст. 65 ТК РФ. В кодексе сказано, что оригиналы предоставляются работодателю лишь при заключении трудового договора. Это значит, что после занесения сведений в договор оригинал возвращается, а снимать копии и хранить их кодекс не разрешает.

Статья Проказина Е.А., редактора-эксперта журнала «Время Бухгалтера»

Положение о порядке обработки персональных данных необходимо

Трудовая инспекция выдала обществу предписание устранить нарушения трудовых прав работников.

Среди них – принять локальный акт, устанавливающий порядок обработки персональных данных сотрудников предприятия.

Общество оспорило предписание, сославшись на то, что вывод о нарушении трудовых прав работников является надуманным. В организации числится лишь один работник, и он же является директором ООО. Выходит, что трудовая инспекция одновременно и защищает права работника, и привлекает его же к ответственности, что недопустимо.

Суд не внял этому аргументу и решил, что в соответствии со ст. 86‒88 ТК РФ у каждого работодателя должен иметься локальный нормативный акт о порядке обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Поэтому у государственного инспектора труда имелись основания для выдачи предписания.

Читайте также:  Отношения по трудоустройству и трудовые правоотношения: в поисках границы

Апелляционное Определение Московского городского суда от 06.05.2014 № 33-15735/14

Копии паспортов, военных билетов и свидетельств о рождении хранить нельзя

Роскомнадзор по итогам проверки банка выдал ему предписание устранить нарушения при работе с персональными данными сотрудников. А именно – не хранить в личных делах копии:

  •  паспортов;
  •  военных билетов;
  •  свидетельств о рождении детей;
  •  свидетельств о браке.
  • Банк обосновал необходимость копий тем, что они нужны ему во исполнение требований действующего законодательства по обеспечению актуализации сведений кадрового и воинского учета.
  • Кроме того, один из работников представил суду объяснения, что он осознанно и добровольно передал банку на хранение копии паспорта, военного билета, свидетельств о браке и о рождении ребенка.
  • Однако суд оставил предписание в силе.
  • Для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом паспорта, в котором содержатся все необходимые сведения.
  • Хранение копий указанных документов превышает объем обрабатываемых персональных данных работника, действующим законодательством не предусмотрено, нарушает права и свободы гражданина, снижает уровень прав и гарантий работника и противоречит федеральному законодательству.
  • Более того, у банка отсутствуют законные основания для обработки специальной категории персданных – национальности сотрудников, которая указана в свидетельствах о рождении и браке.

Что касается доводов банка, то хранение и дальнейшее использование копий паспортов и военных билетов, полученных от сотрудников банка при трудоустройстве, не только не обеспечивает точность и актуальность персональных данных, а напротив, может привести к использованию недостоверных сведений. Используя в качестве источников информации такие копии документов, банк не учитывает реальное состояние указанных в них сведений, что свидетельствует о признаках нарушения ст. 5 закона № 152-ФЗ.

Постановление ФАС Северо-Кавказского округа от 21.04.2014 № А53-13327/2013

Примечание редакции:

Другая компания пошла еще дальше – не только хранила копии трудовых книжек, но и выдавала их сотрудникам за плату. В правилах внутреннего трудового распорядка было прямо прописано, что работник вправе получить заверенную копию трудовой книжки. Только один экземпляр – бесплатно, а второй и последующие – за установленную плату.

Трудовая инспекция оштрафовала фирму за это.

Та оспорила штраф, ссылаясь на то, что нарушение если и есть, то малозначительное, ведь плата была невысока и не причинила сотрудника большого ущерба.

Суд решил, что размер платы значения не имеет. Компания в принципе не имела права вводить платную выдачу копий трудовых книжек, что противоречит трудовому законодательству (Постановление Московского городского суда от 29.08.2011 № 4а-1743/11).

Вместе с тем Роструд считает, что с письменного согласия сотрудников компания вправе хранить копии их документов («Доклад с руководством по соблюдению обязательных требований, дающих разъяснение, какое поведение является правомерным, а также разъяснение новых требований нормативных правовых актов за 2 квартал 2017 г.»).

Оснований для проверки стало больше, сроки сократили

В правилах описаны плановые и внеплановые проверки: когда могут прийти, что попросят, сколько времени займут и чем это закончится. За одно нарушение закона о персональных данных можно получить штраф до 75 тысяч рублей. Если нарушений несколько, есть риск потерять сотни тысяч. И это касается всех, у кого есть даже небольшая рассылка или интернет-магазин.

Мы изучили правила, чтобы вам не пришлось читать 17 страниц постановления. Вот как это работает.

Вот примеры, которые попадают под действие этих документов:

  1. Владелец сайта просит подписаться на рассылку. Посетители оставляют имя, фамилию и электронную почту.
  2. Покупатели заказывают товары в интернет-магазине. Продавец получает от них имена, телефоны и домашние адреса для доставки.
  3. Обычный магазин пробивает покупателю чек и отправляет его на номер телефона.
  4. Самозанятый сдает квартиру и получает от арендатора адрес электронной почты и номер телефона для обязательной отправки чека из приложения.
  5. Инфобизнесмен создает форум о криптовалютах, где люди регистрируются, добавляют свои фото и общаются.
  6. Молодая мама создает сообщество для совместных закупок и обмена вещами. Там регистрируются такие же мамы, оставляют свои телефоны, профили в соцсетях и платежные данные.
  7. Медицинский центр берет анализы у пациента и оформляет его на прием к врачу.
  8. Компания нанимает работников по трудовым договорам, берет их паспортные данные, СНИЛС и домашние адреса.
  9. Школа принимает заявления от родителей на прием детей в первый класс.
  10. Бизнес-центр просит паспорт посетителя, чтобы оформить ему одноразовый пропуск.

Все эти владельцы сайтов, магазинов, бизнес-центров, форумов, рассылок и обычные работодатели — операторы персональных данных. Они должны соблюдать закон, оформлять документы и, когда положено, — уведомлять Роскомнадзор.

Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному человеку и позволяет его идентифицировать.

Точного списка таких данных нет, но в методичке Роскомнадзора есть примеры:

  1. Фамилия, имя, отчество.
  2. Дата и место рождения.
  3. Адрес.
  4. Семейное и социальное положение.
  5. Имущество и доходы.
  6. Образование и профессия.
  7. Специальные данные: раса, национальность, религия, здоровье, политические взгляды. Эти данные нельзя обрабатывать.
  8. Биометрические данные: фотография, образец голоса, отпечатки пальцев.

Как вести бизнес по законуИ зарабатывать больше на своем деле. Подпишитесь на ежемесячную рассылку для предпринимателей и получайте важные статьи и новости о бизнесе

Чтобы операторы персональных данных не раздавали информацию о своих клиентах всем подряд, надежно ее хранили и удаляли по требованию, Роскомнадзор проводит проверки, находит нарушения, выносит предупреждения и штрафует.

Права представителей Роскомнадзора строго регламентированы, но их немало. Вот что они могут делать во время проверки операторов персональных данных:

  1. Запрашивать информацию и документы.
  2. Посещать и обследовать помещения, где работает оператор.
  3. Выдавать предписания об устранении нарушений.
  4. Использовать технику и оборудование для проверки и наблюдения.
  5. Получать доступ к программам и базам оператора, просматривать информацию, которая нужна именно для проверки условий хранения данных.
  6. Требовать прекращения обработки и удаления данных, если нарушены требования.
  7. Составлять протоколы об административном правонарушении.
  8. Обращаться в полицию и прокуратуру, если оператор не пускает в помещение и мешает проверке.
  9. Запрашивать устные и письменные пояснения в ходе проверки.

Эти права у проверяющих есть не только в ходе выездной проверки, но и при наблюдении за тем, как оператор персональных данных работает, что публикует и как собирает информацию. При этом оператор может об этом даже не знать. Дальше расскажем, что такое наблюдение и чем оно грозит операторам.

При проверке операторов персональных данных должностные лица из Роскомнадзора обязаны:

  1. Вовремя находить и пресекать нарушения.
  2. Проводить проверки только на основании приказа. Всегда требуйте этот документ.
  3. Проводить выездную проверку только при исполнении служебных обязанностей.
  4. Предъявлять удостоверение и копию приказа.
  5. Не мешать руководителю или уполномоченным сотрудникам компании присутствовать при проверке, отвечать на их вопросы.
  6. Рассказывать о результатах проверки.
  7. Принимать меры с учетом тяжести нарушений.
  8. Не ограничивать права и не нарушать интересы оператора без веских оснований.
  9. Соблюдать сроки проверки.

Любое нарушение — повод обжаловать результаты проверки, ее продление и даже сам факт проведения. Если что-то идет вразрез с правилами, фиксируйте детали и отправляйте жалобу руководству управления Роскомнадзора.

Плановая проверка — это когда Роскомнадзор заранее, на год вперед, составляет план проверок и размещает его в открытом доступе. Кто угодно может проверить, придут к нему в этом году или нет. В плане указана дата проверки, так что можно подготовиться.

Как предупредят. О плановой проверке предупредят за три рабочих дня любым доступным способом: отправят копию приказа по почте, пришлют электронное уведомление или как-то еще.

Когда могут прийти. Раньше было три основания для таких проверок, теперь только эти:

  1. Прошло три года с регистрации фирмы или ИП.
  2. Последнюю плановую проверку проводили три года назад.

График плановых проверок нужно искать в реестре Генпрокуратуры.

Как часто. Плановые проверки проводят раз в три года. Но теперь могут приходить и каждые два года. Это особые случаи: например, обработка биометрических данных или передача информации за границу.

Сколько длится. Плановые проверки проводят максимум 20 дней. Так было и раньше. Один раз проверку могут продлить.

Внеплановая проверка — это когда визита проверяющих нет в графике и за три дня об этом не сообщают. То есть проверка внезапная, повод может возникнуть в любое время, а причина заранее неизвестна.

Читайте также:  Техосмотр по новым правилам. К чему готовиться автовладельцам

Как предупредят. О внеплановой проверке предупредят за сутки.

Когда могут прийти. Для внеплановой проверки все равно нужны основания. Все они перечислены в постановлении правительства, но список теперь новый — не такой, как был в регламенте.

Вот эти основания:

  1. Оператору выдали предписание для устранения нарушений, а он его игнорирует.
  2. Кто-то из людей пожаловался и приложил доказательства, что оператор нарушает их права.
  3. Есть поручение президента или правительства.
  4. Потребовал прокурор.
  5. Руководителю принесли докладную записку по итогам наблюдения за оператором: мол, тут товарищи нарушают, надо бы их проверить. И глава управления Роскомнадзора согласился и решил: проверяйте. Раньше такой причины для проверок не было.

Последний пункт самый интересный. Смотрите: за вашим сайтом и бизнесом могут просто тихонько наблюдать. Вам при этом ничего не присылают, ничего не запрашивают.

Читают ваши пользовательские соглашения, проверяют галочки на формах подписки — эта процедура называется наблюдением, она предусмотрена правилами.

И если есть подозрения, что вы что-то нарушаете: не спрашиваете согласия, плохо защищаете данные или не предупреждаете об их сборе, — докладная на стол и встречайте внеплановую проверку. По правилам должны согласовать эту проверку с прокуратурой, но для вас будет сюрприз.

Как часто. У внеплановых проверок нет периодичности. К нарушителям могут приходить хоть каждый месяц.

Раньше внеплановая проверка могла быть документарной. Это когда просят документы. Больше документарных внеплановых проверок не будет. Значит, если вынесут решение о выездной проверке, нужно ждать гостей с удостоверениями: придут по месту регистрации или фактической работы.

Если проверка документарная, бумаги должны быть готовы в течение пяти рабочих дней. То есть и этот срок сократили в два раза. С оригиналов документов нужно сделать заверенные печатью и подписью копии и передать в Роскомнадзор. Можно отправить через интернет с усиленной подписью. Дата представления документов — это не дата отправки, а дата штампа о приемке Роскомнадзором.

Если в документах найдутся противоречия, Роскомнадзор запросит пояснения. Их придется представить в течение трех рабочих дней. Раньше для уточнения давали 10 дней.

Любой человек, которому кажется, что его данные неправильно обрабатывают, передают кому-то без разрешения или не удаляют по требованию, может написать обращение в Роскомнадзор. Каждое такое обращение обязаны рассмотреть и дать на него ответ.

Выездную проверку проводят по месту работы или регистрации бизнеса. Если оператор персональных данных — физлицо без регистрации ИП, выездной проверки у него быть не может.

Когда начинается выездная проверка, представитель Роскомнадзора показывает удостоверение и приказ с информацией о сроках, основаниях и целях проверки. Еще до того как начнут проверять, оператору вручат запрос о представлении документов. Раньше такого не было. На подготовку документов дадут минимум два дня.

Во время проверки нужно предоставить проверяющим доступ в помещения и к компьютерам. Если мешать проверке, составят акт и пригласят полицию.

Если проверка придет и никого не застанет по указанному адресу, сроки приостановят. Если и потом никто не объявится, с внеплановой проверкой смогут прийти в любое другое время вообще без предупреждения.

Для каждой проверки есть сроки ее проведения. Проверяющие не могут дольше изучать документы, осматривать компьютеры и опрашивать сотрудников. Но есть причины продлить проверку. Раньше была только одна и в исключительном случае: когда объем работы очень большой. Теперь причин для продления больше:

  1. В процессе проверки поступила информация о нарушении обработки персональных данных.
  2. Случился форс-мажор на месте проверки: офис затопило или что-то загорелось.
  3. Оператор персданных не представляет документы, которые у него просят.
  4. Выяснилось, что предстоит много работы: сложные процессы, большой объем документов, несколько видов деятельности.

Проверку могут продлить только на основании приказа. С ним обязательно знакомят оператора в течение трех дней после того, как приняли решение увеличить срок.

Когда проверка закончится, составят акт в двух экземплярах. В нем напишут, что нарушений нет или что их нашли. Представитель оператора должен подписать акт. Если отказаться, от штрафов это не спасет: в акте сделают пометку об отказе и пришлют его по почте.

Если оператор персональных данных что-то нарушил, ему выдадут предписание: устраните нарушения в такой-то срок. Максимальное время для устранения — 6 месяцев. Но конкретному оператору могут дать и меньше. Раньше этот период регламент не ограничивал.

Когда нарушение устранят, об этом нужно сообщить в Роскомнадзор. Если предписание не исполнено или не все нарушения устранили, может прийти внеплановая выездная проверка. А если в результате нарушаются права тех, чьи данные обрабатывают, Роскомнадзор может вообще запретить обработку, пока все не исправят. Для бизнеса это может означать приостановление деятельности.

За нарушения при обработке персональных данных могут вынести предупреждение, а могут оштрафовать: юрлицо — отдельно, директора — дополнительно.

Чтобы находить нарушения, Роскомнадзор проводит специальные мероприятия, в которых сами операторы никак не задействованы и о которых они вообще не знают. Это наблюдение двух видов:

  1. Как соблюдаются требования при размещении информации в СМИ и интернете.
  2. Какие данные и документы оператор представляет в Роскомнадзор.

Это не проверка, а просто наблюдение, о котором вы даже не подозреваете. Но его результаты могут стать основанием для внеплановой проверки.

Для наблюдения должно быть задание. А для задания нужны причины:

  1. поручение президента, правительства или руководителя Роскомнадзора;
  2. обращения госорганов, компаний, предпринимателей, обычных людей;
  3. публикации в СМИ и интернете о нарушении прав при обработке персданных.

Быть оператором персональных данных — это не значит обязательно регистрироваться в реестре и всегда запрашивать согласие. Если вы получаете и храните чьи-то данные, вы уже оператор. ИП и юрлиц могут проверить планово и внезапно, вам нужно оформлять документы и соблюдать закон.

При этом не все операторы должны регистрироваться в реестре Роскомнадзора. И не всегда нужно получать согласие: по закону обрабатывать данные можно и без согласия.

Например, если вы запрашиваете электронную почту для отправки чека, согласие не нужно. Если просите адрес для доставки пиццы, согласие тоже не нужно.

Так же и с уведомлением Роскомнадзора: если арендатор квартиры или покупатель торта передал вам данные для договора или доставки, это не повод регистрироваться в реестре.

Но при этом вы оператор персональных данных и должны соблюдать остальные требования закона. Вас могут проверять, штрафовать и блокировать.

Работа с персональными данными: к чему придирается Роскомнадзор

Практически каждой организации приходится работать с персональными данными как своих сотрудников, так и клиентов. При этом важно соблюдать правила, регламентируемые Федеральным законом №152-ФЗ «О персональных данных». За соблюдением этого закона следит Роскомнадзор. Он контролирует, чтобы данные использовались с согласия владельца и никуда не просочились. О том, как соответствовать требованиям 152-ФЗ, рассказывает Анна Веденеева, генеральный директор «Бухгалтерского бюро Анны Веденеевой».

Для начала стоит разобраться какие данные считаются персональными.

Персональные данные — это любая информация, с помощью которой можно идентифицировать человека, как конкретное физическое лицо.

К ним относят такие сведения, как: паспортные данные, Фамилия Имя Отчество, номер телефона, ИНН, СНИЛС, образование, профессия, имущество и доход, cookie в браузере, семейное положение, фото, ссылка на профиль в социальной сети.

Если в адресе электронной почты фигурирует личная информация — Фамилия Имя Отчество или дата рождения (ivanov1979@mail.du), то она тоже относится к личным данным. То есть для того, чтобы идентифицировать человека важны скорее не сами данные, а их совокупность.

Варианты контроля

Плановая проверка

Специалисты Роскомнадзора составляют график плановых проверок еще до начала года и публикуют его на своем официальном сайте. Каждая организация может заблаговременно узнать о проверке. А также за три дня по почте придет уведомление, в котором будет указано на какую дату она назначена.

Плановые проверки проводятся раз в три года, для отдельных категорий — раз в два года.

Внеплановая проверка

Они не включены в график, проводятся по жалобам граждан, которые считают, что их права нарушили. Люди обычно жалуются на SMS-спам, назойливые звонки и прочее. Также проверку могут организовать по требованию прокурора.

О внеплановой вы будете извещены лишь за 24 часа до ее начала.

Количество внеплановых проверок неограниченно, одной жалобы достаточно, чтобы инспекторы выехали к вам.

Документарная проверка

В этом случае Роскомнадзор запрашивает копии необходимых документов или какие-либо пояснения по определенной ситуации. Запрос происходит письменно — вы получаете соответствующее письмо. И ответит на него надо в течение пяти дней.

Такие проверки проводятся исключительно по плану.

Текущий контроль

В этом случает проверка проходит без участия организации или ИП. Специалисты проверяют информацию о компании. Для того они изучают сайт, а также другие сведения, находящиеся в открытом доступе.

О такой проверке можно узнать, только в том случае, если специалисты найдут нарушения. В этом случае вы получите требование об устранении недостатков. Его надо выполнить, иначе вас оштрафуют.

Читайте также:  О предъявлении требований кредиторами к банку банкроту

Вас может заинтересовать наш материал «Как начать бизнес правильно»

Нарушения, которые может выявить Роскомнадзор

  • Не уведомили территориальный орган Роскомнадзора об обработке персональных данных.

Если вы собираете личные сведения на сотрудников, в рамках трудовых отношений, уведомлять никого не нужно.

При работе с персональными данными клиентов, необходимо отправить уведомление в Роскомнадзор. А также уведомлять нужно, если вы собираетесь обрабатывать данные уволенных сотрудников или кандидатов на вакансии. Для этого используйте специальную форму на сайте ведомства. Уведомление также следует отправить и в бумажном виде.

  • Не разработали политику обработки персональных данных.

Ее нужно не только сгенерировать, но и предоставить в публичном доступе — на сайте организации, в офисе или мобильном приложении.

  • Отсутствует согласие на обработку персональных данных.

Согласие граждан необходимо получать в обязательном порядке. Это базовый документ, в котором прописано, какие данные и с какими целями вы планируете собрать.

Если собираете данные через интернет, то понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму сбора данных, на которой человек ставит галочку, тем самым соглашаясь на обработку персональных данных.

  • Не позаботились о системе технической защиты персональных данных.

Серверы с базами данных необходимо размещать в защищенном месте, чтобы к ним имели доступ только те, кто имеет на это право. Необходимо установить антивирусные программы.

Издайте приказ, который утвердит порядок хранения персональных данных и утвердите перечень работников, которые будут иметь к ним доступ. Назначьте ответственного за обработку личной информации.

Персональные данные на бумаге храните в сейфе или в архиве.

Если компания не защитит данные, и кто-то получит к ним доступ, то ее оштрафуют. А если в результате утечки данных пострадает человек, то компания должна будет компенсировать ущерб.

  • Отсутствуют внутренние документы с правилами обработки и защиты персональных данных в вашей компании.
  • В личных делах сотрудников лишние документы.

К примеру, документы сотрудник должен предъявить лишь при оформлении трудовых отношений. Поэтому после завершения процедуры хранить их копии в отделе кадров не нужно.

  • Если в компании приняты все меры, документы поддерживаются в актуальном состоянии, уведомление подано, то контролирующему органу не к чему будет придраться.
  • Если вам понравилась наша статья, то, пожалуйста, поставьте лайк и подпишитесь на наш канал.
  • Статья была подготовлена для вас порталом Sovcom.pro

Что проверяет Роскомнадзор по персональным данным?

В предыдущем материале мы рассказали, что интересует ФСБ при проверке, связанной с персональными данными. Сейчас мы поговорим о Роскомнадзоре. Если Федеральную Службу Безопасности по большей части интересует технический вопрос, как хранятся, обрабатываются персональные данные, то Роскомнадзор акцентирует свое внимание на организационных мерах.

Список основных документов, содержащих правовые основания для проверки выглядит следующим образом:

 

Что проверяют?

Проверяют условия обработки персональных данных, делая упор исключительно на состоянии организационных мер по защите информации. В технические меры не углубляются, хотя обязательно посмотрят все информационные системы персональных данных в организации. Накануне проверки срочно устанавливать пароли на всех компьютерах нет особой необходимости, на это обращать внимания не будут.

 

А конкретнее?

Если конкретнее, то стоит отметить, что в разных регионах специфика проверок разная. В этом мы убедились из опыта общения с различными учреждениями, «коллегами по цеху» и непосредственно представителями проверяющего ведомства. Единую таблетку от всех проверок выписать невозможно, однако сформулировать ряд рекомендаций – вполне.

Итак, в базе Роскомнадзора должны быть сведения об операторе персональных данных, то есть, о вас. Есть исключения, но, если к вам идет проверка – значит, вы, скорее всего, у них в базе числитесь. Сведения должны быть актуальными.

Ваш сайт должен соответствовать требованиям законодательства. То есть, если у вас есть разделы «обратная связь», «обращение граждан» или другие подобные формы, на которых вы собираете любые данные о физических лицах, то вы обязаны взять с этого лица согласие на обработку его персональных данных.

В настоящее время идут споры о том, является ли простановка галочки в чек-боксе юридически значимым действием, однако, сами проверяющие относятся к этому вполне лояльно. Кроме того, законодательство обязывает организацию разместить на сайте «Политику в отношении обработки персональных данных».

Желательно размещать ее в таком месте, чтобы ее можно было найти как можно проще.

Что касается списка документов по защите персональных данных для проверки Роскомнадзора, то можно выделить следующие основные группы документов:

  • По неавтоматизированной обработке персональных данных. Включают в себя перечень мест хранения бумажных носителей персональных данных, лиц, имеющих к ним доступ, и положение о неавтоматизированной обработке персональных данных;
  • О приеме обращений субъектов персональных данных. Включает в себя положение о порядке приема обращений, набор шаблонов заявлений и обращений по этому вопросу;
  • Для работы отдела кадров. Включают в себя согласия на обработку персональных данных работников и журнал ознакомления сотрудников с положениями по защите персональных данных в организации;
  • По установлению уровня защищенности для информационных систем персональных данных. Включают в себя акты установления уровня защищенности информационных систем персональных данных и положения о мерах по обеспечению принятых уровней защищенности;
  • О назначении ряда ответственных сотрудников по работе с персональными данными. Включают в себя назначения ответственного за организацию обработки персональных данных, ответственного за обеспечение контролируемой зоны, ответственного за безопасность информации, ответственных за обеспечение конфиденциальности персональных данных во всех подразделениях;
  • По защите от несанкционированного доступа. Включают в себя положения о порядке устранения последствий от несанкционированного доступа, назначения ответственного за восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • По правилам уничтожения персональных данных. Включают в себя положения об уничтожении персональных данных, назначение комиссии по уничтожению персональных данных, акты уничтожения материальных носителей персональных данных;
  • О разграничении доступа к персональным данным. Включают в себя списки сотрудников, допущенных до обработки персональных данных, списки сотрудников, допущенных в кабинеты и/или информационные системы персональных данных, положения о разграничении прав доступа, матрицу доступа, инструкции пользователям и администраторам;
  • По работам с персональными данными. Перечень носит объемный характер и, в общем случае, содержит множество инструкций, регламентов и правил, описывающих хранение и передачу персональных данных внутри организации.

Безусловно, не стоит забывать про модель угроз. Сам документ проверяющие из РКН не смотрят, но им важно его наличие. Модель угроз – это вотчина ФСТЭК, но это тема совершенно другой статьи.

 

А штрафы?

Штрафы есть. Они определены Статьей 13.11 КоАП. В отличие от Проверки ФСБ, Роскомнадзор предпочитает накладывать штраф не на физическое лицо, а на юридическое. Стоит отметить, что штрафы суммируются. Так что сумма наказания вполне может достигать размера в 150 000 рублей.

Чтобы избежать наложения таких штрафов, мы рекомендуем обращаться к профессионалам. Как минимум, с целью проведения обследования состояния вашей системы документов и получения рекомендаций по их доработке. Это, в любом случае, поможет вам лучше разобраться в состоянии дел по защите персональных данных в вашей организации.

 

Вывод

Проверку можно легко пройти, если на вас нет «зуба» у проверяющих, и вы подготовились к их приходу, т.е. собрали необходимые документы, сделали и заверили копии, а также подготовили сотрудников, чтобы те не говорили лишнего. О том, как правильно подготовить сотрудников к предстоящим проверкам регуляторов, мы обязательно напишем в следующих статьях.

И по традиции, полезность! Мы подготовили для вас комплект документов, которые понадобятся при проверке со стороны Роскомнадзора, ну или просто если вы решите привести в порядок организационно-разрешительную документацию по защите персональных данных на предприятии.

Вы получите следующие шаблоны документов:

  • Приказ об утверждении правил рассмотрения запросов субъектов персональных данных;
  • Приказ о порядке уничтожения персональных данных.

Leave a Comment

Ваш адрес email не будет опубликован. Обязательные поля помечены *