+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Проверка Роскомнадзора

Содержание

Проверка Роскомнадзора по защите персональных данных: как подготовиться и избежать штрафов

Проверка Роскомнадзора

Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года.

Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит.

Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Тем более что в настоящее время Госдума рассматривает законопроект о значительном увеличении штрафов за нарушения в обработке персональных данных.

Виды проверок Роскомнадзора

Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.

– Плановая проверка

О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит  уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.    

– Внеплановая проверка

Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

– Документарная проверка

В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.

– Выездная проверка

При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.

В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.

Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?

Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований.

Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять.

Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.

Если привлечение внешнего специалиста для вас дорого, сделайте выбор в пользу бюджетного варианта и используйте специальные онлайн-сервисы для выполнения законодательства о персональных данных.

Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:

  1. Для начала найдите в компании человека, который будет следить за выполнением законодательства в области персональных данных. Часто в компаниях малого и среднего бизнеса эта функция делегируется бухгалтеру, кадровику или юристу. Реже ее берет на себя руководитель. В крупных компаниях вопросами защиты информации может заниматься целый отдел.
  2. Назначьте ответственного за организацию обработки персональных данных в компании. Скорее всего, это будет тот же человек, который  занимается вопросами персональных данных.
  3. Изучите процесс обработки персональных данных в компании, например, какие персональные данные компания собирает, в каких целях. Компания может собирать персональные данные работников для выполнения трудового законодательства или данные клиентов для выполнения заключенных с ними договоров, ей также могут понадобиться персональные данные соискателей на вакантные должности. Возможно, компания передает эти данные в другую организацию,  например, данные сотрудников в бухгалтерию.
  4. На основе полученной информации разработайте пакет документов, включающий политику компании в отношении обработки персональных данных, положение по неавтоматизированной обработке, приказ о назначении ответственных и ряд других положений, приказов, инструкций и актов. Разработанные документы необходимо утвердить.
  5. Обязательно ознакомьте с утвержденными документами всех работников, которые имеют к ним отношение. Например, с положением по неавтоматизированной обработке нужно ознакомить только тех работников, которые работают непосредственно с бумажными документами, содержащими персональные данные.
  6. Основной документ — политику компании в отношении обработки персональных данных — разместите в общедоступном месте, чтобы каждый желающий мог ее прочесть. Лучше всего копию документа разместить на информационном стенде. Если у компании есть сайт, на котором собираются персональные данные пользователей, например, ФИО, телефон и e-mail для регистрации, то на сайте также нужно разместить политику, причем в том месте, где она будет заметна пользователю.
  7. Подайте уведомление в Роскомнадзор об обработке персональных данных. Уведомление оформляется в двух видах — электронном и печатном. 

Чтобы выслать уведомление в электронном виде, нужно на сайте Роскомнадзора заполнить электронную форму. После отправки электронного уведомления, распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.

В течение 30 дней Роскомнадзор рассмотрит ваше уведомление и добавит компанию в реестр операторов. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона №152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.

Проверка Роскомнадзора: на что обращают внимание инспекторы?  

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Какие персональные данные можно обрабатывать без уведомления:

  1. данные, которые обрабатываются в соответствии с трудовым законодательством;
  2. данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  3. данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  4. данные, сделанные субъектом персональных данных общедоступными;
  5. данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
  6. данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
  9. данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.

Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных.

К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует  обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.

6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных.

В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.

В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами.

Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны.

Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

Елена Республиканская

Источник: https://kontur.ru/articles/1775

Проверка Роскомнадзора на 2018 год – как подготовиться, что проверяют

Проверка Роскомнадзора

Здравствуйте! Сегодня мы обсудим еще один вид проверок, затрагивающий каждого работодателя, а именно инспекции Роскомнадзора. О том, как они проходят, и как к ним подготовиться, читайте в нашей статье.

Виды проверок

Процедура проверки во многом зависит от ее вида. Основные типы проверок:

  1. Плановые. Их график составляется заранее, еще в конце предыдущего года, и публикуется на сайте. Кроме того, проверяемого предупредят письмом или лично как минимум за три дня до начала инспекции.
  2. Внеплановые. Они инициируются после поступления жалоб от недовольных клиентов или даже от доноса конкурента. В зависимости от серьезности предполагаемого нарушения о проверке могут предупредить за сутки, а могут и не предупредить вовсе.
  3. Документарные. Проверяется пакет документов, который по запросу предоставляется в контролирующий орган.
  4. Выездные. Осматривается территория предприятия.

Что проверяет Роскомнадзор

Далеко не все знают, за какую область отвечает Роскомнадзор, или иначе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Роскомнадзор контролирует работу операторов любых персональных данных (сотрудников или клиентов).

Подконтрольными Роскомнадзору субъектами выступают все предприятия, большинство ИП и даже некоторые граждане, которые вне зависимости от объема, обрабатывают и собирают информацию о клиентах, сотрудниках и других гражданах.

У вас есть наемные работники? Если ответ положительный, то будьте уверены, вы уже точно попадаете под проверки Роскомнадзора по персональным данным.

Трудовой Кодекс РФ дает нам такое толкование термина: персональные данные — сведения, которые необходимо передать работодателю для осуществления служебных обязанностей. Например, это паспортные данные, номер телефона, адрес и даже факты биографии (образование, опыт работы, семейное положение).

Роскомнадзор проверяет:

  1. Документы, включающие в себя персональные данные. Если проверка выездная – еще и условия их хранения, организацию места хранения. Собственно хранение данных на предприятии может быть физическим или электронным, Роскомнадзор проверяет оба метода;
  2. Обрабатывающие их системы (компьютеры и программы);
  3. Внутренние нормативные акты, касающиеся обработки и хранения персональных данных, и их практическое соблюдение;
  4. Сайт компании в интернете. Например, предприятие могут оштрафовать, если на его сайте производится сбор персональных данных (для регистрации нужно вводить свое имя, номер телефона), но не размещены подробности дальнейшей работы компании с персональными данными.

Единого перечня документов, которые подвергаются проверке, не существует, но приблизительный список такой:

  • Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав общества и прочие);
  • Копия уведомления о намерении осуществлять работу с персональными данными (можно заменить выпиской из реестра операторов);
  • Список персональных данных, собираемых и охраняемых вашей компанией;
  • Список сотрудников, имеющих доступ к персональным данным, вместе с приказом об их допуске;
  • Инструкции сотрудников, которые в ходе своей трудовой деятельности обрабатывают персональные данные и обеспечивают информационную защиту;
  • Положение об ответственности работников за разглашение персональных данных и нарушение запрета доступа к ним;
  • Положения о коммерческой тайне, о защите персональных данных, хранящихся на предприятии;
  • Положения об особенностях обработки персональных данных, в том числе их обезличивания;
  • Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности);
  • Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи сотрудников по требованиям информационной безопасности);
  • Соглашения о неразглашении персональных данных, подписанные всеми сотрудниками;
  • Бланки согласия граждан на обработку их персональных данных;
  • Журналы инструктажей сотрудников по вопросам информационной безопасности и прочих внутренних контрольных мероприятий режима защиты;
  • Журналы учета всех носителей информации, а также средств защиты информационных систем.

Как подготовиться к проверке Роскомнадзора

Перед любой проверкой важна правильная подготовка. Давайте рассмотрим, какие мероприятия помогут не ударить в грязь лицом перед инспектором.

Проверка Роскомнадзора одна из самых сложных в плане подготовки. Данные – вещь нематериальная, для обеспечения безопасности их недостаточно положить в сейф под ключ. Нужно привести в порядок огромный пакет документов, и не удивительно, что сделать это самостоятельно, не упустив ничего из виду, задача не из легких.

Крупные операторы обычно не скупятся на содержание в штате фирмы специально обученного сотрудника, который следил бы за всеми бумагами, информационными системами и руководил подготовкой к проверке.

Для предприятий поменьше есть другой, но тоже недешевый вариант – нанять стороннего эксперта. Он поможет единожды систематизировать хранение и обработку персональных данных на фирме.

Если эти два варианта предпринимателю не по карману, придется все делать собственными силами.

Основной план подготовительных мероприятий выглядит так:

  1. Убедитесь, что ранее вы подавали в Роскомнадзор уведомление об обработке персональных данных. Подавать его нужно прежде, чем начинать деятельность, и опоздание уже становится поводом для штрафа. На практике Роскомнадзору почти всегда удается доказать, что каждый работодатель является оператором персональных данных. Какие бы факты он ни приводил в доказательство обратного.
  2. Проверьте, соответствует ли ваша текущая деятельность указанному в едином реестре. Уточните содержание заявления, которое вы ранее подавали в Роскомнадзор и при необходимости внесите в него изменения. Необходимую для этого форму можно скачать на сайте Роскомнадзора. Именно несоответствие этих данных и фактической деятельности выступает самой распространенной причиной штрафа от Роскомнадзора. Например, даже назначение другого ответственного за обработку персональных данных сотрудника уже становится основанием для штрафа.
  3. Назначьте ответственного за обработку персональных данных, вместе с ним приступайте к подготовке всех документов, сопровождающих путь персональных данных от сбора, до хранения и уничтожения.
  4. Обязательно оформите «Политику компании в отношении обработки персональных данных». Вы можете дать документу другое название, но суть в том, что он станет основополагающим сводом правил и инструкций в интересующем Роскомнадзор вопросе.
  5. Подготовьте к проверке всех сотрудников. Ознакомьте их с документами по работе с персональными данными. Установите четкие правила поведения с инспекторами, если ожидается выездная проверка. Очень часто у проверяющих возникают вопросы к простым работникам. Отработайте с ними тактику «глухой защиты» – ничего не говорить, ничего не подписывать без присутствия руководителя. Вы действительно имеете на это право.
  6. Проверьте, как и где вы храните бумаги, особенно ксерокопии паспортов, кто имеет к ним доступ.
  7. Проверьте материально-техническое оснащение офиса: замки на важных помещениях, наличие сейфов для документов.
  8. Воспользуйтесь специальными онлайн-сервисами для подготовки документов. Они бывают совсем бесплатными или коммерческими, но в любом случае дешевле офлайн специалиста. Особенно если вы практически не знакомы с законодательством о персональных данных, сервисы дадут исключительно актуальные подсказки по подготовке.

Как проходит проверка Роскомнадзора

Начинается проверка с уведомления проверяемого. В нем указываются сроки и реквизиты инициирующего приказа. Прилагаются, кроме того, копия самого приказа, план контрольных мероприятий.

Сначала проверяют документы. На предприятие отправляется запрос, на который необходимо ответить в течение 10 дней. Предприниматель предоставляет копии документов, заверенные подписью и печатью. Свидетельство нотариуса не требуется. Если в документах содержится вся необходимая для разъяснения ситуации информация, то до выездной инспекции дело не дойдет.

Но если в бумагах будут обнаружены ошибки или у инспектора останутся вопросы, то тогда он лично навестит предпринимателя. Посетителей должно быть минимум двое, они обязаны предъявить удостоверения и копии приказа о проведении проверки.

Длится выездная проверка 20 рабочих дней, и еще на 20 дней она может быть продлена, если требуется провести дополнительные исследования.

Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки.
Результат проверки можно обжаловать.

Сделать это можно как письменно, так и устно (например, в ходе личного приема или по телефону – подробности можно найти на сайте территориального органа Роскомнадзора).

Рассматривается жалоба в течение месяца.

Советы предпринимателям

Во время проверки:

  1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
  2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
  3. Не паникуйте;
  4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
  5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
  6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
  7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Источник: http://kakzarabotivat.ru/pravovaya-podderzhka/proverka-roskomnadzora/index.html

Проверки Роскомнадзора: что такое персональные данные и как их защищать

Проверка Роскомнадзора

— поделись с коллегами

Иван Носков, юрист “Зарцын и партнеры”

Роскомнадзор и персональные данные

В первой нашей статье этого цикла мы говорили о том, что Роскомнадзор может проверять компании по нескольким основаниям. А в этой части мы более подробно поговорим о проверках, касающихся персональных данных.

Тем более что в начале января этого года Роскомнадзор заявил о масштабных проверках интернет-бизнеса по соблюдению ими 152-ФЗ.

На что обращают внимание инспекторы

  1. Порядок проведения проверки во многом зависит от специфики вашего бизнеса, но есть некие общие постулаты, которым следуют инспекторы. Прежде всего, они захотят ознакомиться со всеми необходимыми внутренними документами по обработке ПДн.

    И обязательно обратят внимание на то, подавали ли вы уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Безусловно, не всем и не всегда это уведомление нужно подавать.

Существует перечень персональных данных, которые можно обрабатывать без уведомления:

  • данные, которые обрабатываются в соответствии с трудовым законодательством, – это данные ваших штатных работников;
  • данные, полученные оператором в связи с заключением договора, стороной которого является субъект ПДн, если эти данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн, – это данные ваших пользователей и клиентов;
  • данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующей в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  • данные, сделанные субъектом персональных данных общедоступными;
  • данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
  • данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  • данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ;
  • данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании.

Бывают случаи, когда информация, имеющаяся у ведомства, может не соответствовать действительности. Например, если после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, такую компанию могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Стоит обратить внимание, что вне проверки Роскомнадзор имеет право направить оператору ПДн запрос о предоставлении обоснования ненаправления уведомления об обработке ПДн. На такой запрос следует отвечать оперативно (в срок 30 дней), иначе вы можете быть привлечены к административной ответственности.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее.

Инспекторам также может быть интересна форма согласия на обработку персональных данных. Она должна соответствовать требованиям закона.

Из основных значимых документов, запрашиваемых при проведении регулятором проверки соблюдения компанией норм закона о персональных данных (ПДн), можно выделить следующие (пункты касаются как автоматизированной обработки, так и неавтоматизированной):

  • Уведомление об обработке ПДн.
  • Документ, определяющий ответственного за организацию обработки ПДн.
  • Перечень сотрудников, допущенных к обработке ПДн.
  • Документ, определяющий места хранения ПДн.
  • Справка об обработке специальных и биометрических категорий ПДн.
  • Справка об осуществлении трансграничной передачи ПДн.
  • Типовые формы документов с ПДн.
  • Порядок уничтожения ПДн.
  • Порядок передачи ПДн третьим лицам.
  • Типовая форма согласия на обработку ПДн.
  • Порядок учета обращений субъектов ПДн.
  • Перечень информационных систем персональных данных (ИСПДн).
  • Документы, регламентирующие резервирование данных в ИСПДн.
  • Перечень используемых средств защиты информации.
  • Матрица доступа.
  • Модель угроз.
  • Документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  • Журнал учета машинных носителей ПДн.

Более подробный список можно посмотреть по ссылке.

  1. Помимо документации, Роскомнадзор обязательно проверит сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных или нет согласия на сбор ПДн, компанию могут оштрафовать.

Так, например, при мониторинге одного из сайтов было установлено, что на нем размещен справочник, содержащий ФИО и телефоны физлиц. Однако данные были размещены без согласия физлиц.

Источник: https://e-pepper.ru/news/proverki-roskomnadzora-chto-takoe-personalnye-dannye-i-kak-ix-zashhishhat.html

Как проходит проверка персональных данных — глазами Superjob и Роскомнадзора

Проверка Роскомнадзора

В прошлом году вступил в силу закон о защите персональных данных, в рамках которого в частности компании обязали хранить данные о россиянах только на территории РФ, а также были введены ограничения на трансграничную передачу персональной информации. А этом году Роскомнадзор проведет более десяти проверок крупнейших российских и иностранных компаний.

Вопреки опасениям некоторых участников рынка, пока проверки не выявили серьезных нарушений, но уже сейчас стали очевидны некоторые спорные моменты — например невозможность обрабатывать данные пользователей сайта системой Google Analytics и ей подобными.

Роскомнадзор и Superjob впервые раскрыли, как проходят проверки исполнения законодательства в области обработки персональных данных.

Подготовка к проверке

Юрий Контемиров, начальник управления по защите прав субъектов персональных данных Роскомнадзора: Список компаний, в отношении которых в 2016 году будут проводится проверки исполнения законодательства о персональных данных формировался исходя из большого числа факторов.

Учитывалась специфика бизнеса — в первую очередь то, с какими объемами персональных данных работает то или иное предприятие, масштабность и территориальная распределенность бизнес-процессов, также учитывались итоги деятельности по рассмотрению Роскомнадзором жалоб граждан, публикации в прессе и так далее.

План проверок на конец 2015 года и 2016 год был сформирован таким образом, чтобы Роскомнадзор получил детальное представление о фактическом исполнении законодательства в наиболее чувствительных с точки зрения защиты персональных данных сферах.

Например, в первом квартале текущего года были проверены крупнейшие игроки рынка электронной торговли — интернет-магазины Ozon, KupiVip, Lamoda, Wildberries. Затем системно исследовались интернет-компании, предоставляющие услуги по поиску работы и подбору персонала.

В указанный план вошли, в том числе организации, оказывающие услуги в сфере страхования, гостиничного бизнеса, в сфере туризма, в сфере бронирования билетов в рамках осуществления пассажирских перевозок, кредитных организаций, дилерских центров и т. д.

То есть проверки сформированы по кластерному принципу, что позволяет, с одной стороны, эффективно задействовать надзорные ресурсы, с другой — продолжать реализовывать комплексный аудит систем защиты персональных данных с учетом специфики того или иного бизнеса.
Всего до конца 2016 года будет проверено еще около тысячи компаний. С планами проверки компании могут ознакомиться на территориальных сайтах управлений РКН.

Наталия Годжаева, генеральный директор Superjob.

ru: Еще задолго до появления в современном виде закона о персональных данных мы сталкивались с различными кейсами: нам предлагали продавать данные банкам и страховым, нам предлагали участвовать во всевозможных продажах — мы отказывались. Мы добровольно вырабатывали системы выявления и отказа от работы с МЛМ, пирамидами, другими сомнительными бизнесами.

За полгода до проверки мы взвешивали все «за» и «против» варианта пригласить внешнего аудитора для проведения аудита соответствия бизнес-процессов Superjob.ru по работе с персональными данными.

Отказались, так как решили, что наша экспертиза сильнее. И в целом оказались правы. По сути, роль аудитора для нас выполнил РКН.

Так что в итоге мы получили и аудит, и серьезно прокачали наши компетенции, теперь сами можем консультировать.

Как проходит проверка

Юрий Контемиров: Сама проверка по правилам должна занимать до 20 рабочих дней, но при необходимости этот срок может быть продлен еще на 20 дней.
В случае с SuperJob такое продление было.

Это было обусловлено значительным объемом документов, затрагивающих вопросы обработки персональных данных, а также необходимостью анализа баз данных, обрабатываемых в ИТ-системах данной компании.

Традиционно, если в ходе проверки были выявлены нарушения, компания получает предписание об их устранении, на это ей дается срок, достаточный для устранения нарушений. В случае с Superjob срок исполнения предписаний — полгода.

По истечении этого срока проводится внеплановая проверка по контролю за исполнением ранее выданного предписания и если нарушения не устранены, материалы передаются в органы прокуратуры, которые принимают решение о возбуждении административного производства (итогом этого могут быть штрафы, обеспечительные меры и проч.).

Наталия Годжаева: Мы знакомили специалистов Роскомнадзора с документами, организовали демонстрацию работы сервиса Superjob. Мы старались быть максимально открытыми: не просто предоставляли документы, а организовали демонстрацию работы сервиса по всем возможным сценариям.

Мы показали, как взаимодействует с системой соискатель, как это делает работодатель, как работают администраторы. Проверяющие тоже, кстати, пришли не с пустыми руками. Они заранее проверили работу многих сценариев и задавали конкретные вопросы, доставали заготовки.

Например, мы в реальном времени показывали, как работает удаление резюме пользователем, потом тут же переместились к системным архитекторам и попросили их показать, что данные из этого резюме нельзя получить «изнутри».

Что нашел Роскомнадзор в SuperJob

Юрий Контемиров: При проверке SuperJob, помимо оценки деятельности по обработке персональных данных, также анализировалось соблюдение требований законодательства в части, касающейся необходимости хранить и обрабатывать данные россиян на территории РФ, порядка передачи персональных данных третьим лицам, а также условий осуществления трансграничной передачи данных. По первому пункту вопросов не возникло, так как data-центры компании изначально находились на территории РФ и никаких особых шагов для приведения ситуации в соответствие с требованиям закона не понадобилось.

В той части, которая касается обработки и анализа персональных данных, РКН исходил из того, что для обработки персональной информации граждан РФ компании необходимо обеспечить правовые основания обработки, предусмотренные ст.

 6 Закона о персональных данных (в частности, пользователь должен поставить галочку в соответствующем чекбоксе при создании анкеты соискателя).

При этом необходимо, чтобы в пользовательском соглашении было четко прописано, для каких целей собирается информация, а также на сайте в открытом доступе должен находится документ, описывающий принципы и правила обработки персональных данных — эти условия SuperJob выполнила.

Важный нюанс — компания не может использовать данные из анкет соискателей для каких-либо целей, отличных от помощи в поисках работы. Если сайт, к примеру, хочет использовать данные из анкет для проведения каких-то маркетинговых исследований, на это надо получить отдельное согласие пользователей.

SuperJob в силу специфики своей деятельности должен открывает часть данных контрагентам — в первую очередь компаниям-работодателям, часть из которых находится за пределами РФ.

Здесь необходимо учитывать важный нюанс — такая информация может передаваться третьим лицам после получения согласия пользователя на трансграничную передачу его персональных данных. При этом иностранные государства делятся на страны, обеспечивающие адекватную защиту, и не обеспечивающие, условия трансграничной передачи на территорию которых разнятся.

В частности, чтобы передавать персональные данные в страны, не обеспечивающие адекватную защиту, необходимо получить письменное согласие владельца персональной информации.

РКН установил, что SuperJob предоставлял данные своим иностранным клиентам-работодателям доступ к персональным данным в режиме просмотра, что не считается трансграничной передачей персональной информации и для такого режима работы достаточно согласия пользователя, полученного при регистрации анкеты на сайте, предусматривающего возможность доступа неограниченного круга лиц.

Анастасия Чучалова, заместитель генерального директора SuperJob по финансам и персоналу: Де-факто работа с сервисом Superjob.ru в части базы данных резюме и вакансий не предполагает скачивания какой-либо информации из неё.

Вся работа ведется только онлайн, через наш интерфейс. Порядок одинаковый и для зарубежных компаний, и для российских.

Мало того, скачивание персональных данных в виде резюме является нарушением лицензионного договора, на основании которого мы предоставляем работодателям право пользования нашей базой данных резюме и вакансий.

Наталия Годжаева: Мы использовали Google Analytics наравне с другими аналогичными инструментами для анализа аудитории. С помощью системы мы обрабатывали данные по количеству визитов, географии, достижению целей пользователей, поисковые фразы и так далее.

Информацию, напрямую связанную с личностью пользователя, мы таким образом не обрабатывали. Однако в законе персональные данные описаны как любая информация «прямо или косвенно относящаяся к определяемому лицу». Специалисты РКН посчитали, что таковой информацией следует считать, например, ip и наличие cookies, другие параметры с которыми работает GA.

Наша позиция: вопрос это чисто технический, в данном случае пусть за регулятором останется последнее слово в толковании буквы закона.
В любом случае для Superjob.ru это не критично: мы параллельно используем несколько аналитическим систем и заканчиваем создание собственной.

Впрочем, и возможность принять все необходимые меры для дальнейшего использования Google Analytics Google Analytics тоже не исключаем. Оценим все варианты.

Анастасия Чучалова: Роскомнадзор реально обнаружил вещи, которые от нас ускользнули. Например, в силу многолетней специфики деятельности мы, честно признаюсь, привыкли к разделу в резюме, где соискатели указывают рекомендателей. То есть людей, с которыми можно связаться, чтобы уточнить мнение о кандидате.

Формально, в том виде, как это устроено сейчас, мы такую информациию (контакты третьих лиц) принимать от соискателей и публиковать в рамках нашей закрытой базы данных резюме не должны. РКН нам на это указал — будем устранять.

Тем более что есть понимание: это не критичная информация на этапе рассмотрения резюме, HR уже в ходе первого собеседования решит, стоит ли ему запросить такую информацию непосредственно у соискателя

Источник: https://roem.ru/23-06-2016/227249/kak-prohodit-proverka-personalnyh-dannyh-glazami-superjob-i-roskomnadzora/

Роскомнадзор проверки | график 2019

Проверка Роскомнадзора

В статье расскажем, что проверяет Роскомнадзор, как подготовиться к визиту инспекторов. Скачайте график проверок 2019 и образец уведомления об обработке персональных данных.

План проверок Роскомнадзора на 2019 год

Контрольные мероприятия Роскомнадзора проводятся в соответствии с ежегодным планом. Такой формат деятельности практикуется с 2009 года. В середине декабря на сайте организации размещают план на следующий год.

РКН планирует провести контрольные мероприятия в отношении организаций, которые имеют отношение к обработке персональных данных. Наибольший интерес у надзорного органа традиционно вызывают следующие отрасли: образование, медицина, туризм, финансовые услуги и управляющие компании. В подавляющем большинстве случаев речь будет идти о юридических лицах, а не об индивидуальных предпринимателях.

В график проверок Роскомнадзора на 2019 год включены как юрлица, подавшие уведомление об обработке персональных данных в реестр операторов, так и те, кто этого еще не сделал.

Проверки Роскомнадзора на 2019 год

Основные полномочия РКН определены в Федеральном законе от 27.07.2006 «О персональных данных» №152-ФЗ. Из этого документа следует, что у ведомства два главных направления деятельности:

  • защита прав субъектов персональных данных;
  • контроль и надзор за соответствием обработки персональных данных (ПДн) требованиям законодательства.

Иными словами, РКН следит за тем, чтобы ПДн граждан использовались строго по назначению, в соответствии с требованиями закона.

Проверка Роскомнадзора по защите персональных данных проходит каждый год согласно графику. Также нередки внеплановые проверки, которые проводятся после обращений (жалоб), либо после планового визита — чтобы убедиться в том, что все нарушения устранены. Надо помнить, что эксперты дополнительно осуществляют систематический контроль, то есть мониторят сайт организации.

Готовиться к проверке следует тщательно. Особенно важно подать в Роскомнадзор уведомление об обработке персональных данных. Если этого не сделать, то на организацию будет наложен штраф.

Это случится и в том случае, если реальные факты о деятельности компании противоречат указанным в документе.

Также необходимо разработать внутрикорпоративный документ, посвященный политике по обработке персданных, и ознакомить с ним всех сотрудников.

Приходя в организацию с проверкой, инспектор РКН в первую очередь интересуется тем, как проводится работа с персональными данными. Скорее всего, он будет изучать:

  • документы, содержащие ПДн граждан, и условия их хранения;
  • компьютеры и приложения, с помощью которых ведется обработка данных;
  • внутренние документы, регулирующие обработку персональных данных, а также их исполнение;
  • сайт организации.

При этом наличие и работоспособность средств технической защиты информационных систем, в которых хранятся персданные, проверке Роскомнадзора не подлежит. Экспертов этой организации в основном интересует контроль правовых оснований.

  • Какие локальные документы по охране труда должны быть на предприятии

Что проверяет Роскомнадзор при плановой проверке

Как мы писали выше, этот вид инспекций проводится строго в соответствии с годовым планом. Согласно действующему Административному регламенту, о предстоящем визите организация уведомляется за три рабочих дня.

Как правило, длительность плановой проверки не превышает 20 дней, но в редких случаях РКН может потребовать еще 20 дней, например, для дополнительной экспертизы документов.

Всего в ходе плановой проверки эксперт может запросить у организации 31 документ, самыми значимыми из которых являются:

  • Уведомление об обработке ПДн.
  • Документ, определяющий ответственного за организацию этой обработки.
  • Перечень сотрудников, допущенных к этому процессу.
  • Документ, определяющие места хранения ПДн.
  • Справка об обработке специальных и биометрических категорий персданных.
  • Справка об осуществлении трансграничной передачи ПДн.
  • Типовые формы документов с персональными данными.
  • Порядок уничтожения ПДн.
  • Порядок их передачи третьим лицам.
  • Типовая форма согласия на обработку.
  • Порядок учета обращений субъектов ПДн.
  • Перечень информационных систем персональных данных (ИСПДн).
  • Документы, регламентирующие резервирование данных в ИСПДн.
  • Перечень используемых средств защиты информации.
  • Матрица доступа.
  • Модель угроз.
  • Документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработки в информационных системах персональных данных».
  • Журнал учета машинных носителей ПДн.

Внеплановые проверки Роскомнадзора

Проводятся на особых основаниях и случаются не так уж редко. По форме они бывают документарными (организацию обязывают предоставить определенные документы) и выездными (личный визит эксперта в организацию). О предстоящей проверке Роскомнадзор уведомляет за 24 часа до ее начала – как правило, по телефону или факсу.

Для этого мероприятия может быть несколько оснований:

  • Контроль исполнения решений Роскомнадзора по итогам плановой проверки. Обычно это происходит путем запроса определенных документов.
  • Обращения или жалобы граждан, либо юридических лиц. РКН обязан рассматривать такие обращения и реагировать на них в соответствии с Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».
  • Индивидуальное решение главы Роскомнадзора, либо руководителя его территориального подразделения.
  • Выявление систематических нарушений при работе с персональными данными.

Следует готовиться к тому, что внеплановые проверки будут частыми. По статистике, количество обращений и жалоб на условия работы с ПДн или размещение определенного контента растет из года в год, а требования к работе с персональными данными ужесточаются.

Узнайте, как проходят проверки Ростехнадзора>>>

Источник: https://www.trudohrana.ru/article/103576-18-m5-roskomnadzor-plan-proverok

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.