Что проверяет роскомнадзор

В последнее время Роскомнадзор прочно ассоциируется с запретами и скандалами вокруг интернет-площадок. Но это далеко не самая важная часть работы организации. С деятельностью Роскомнадзора могут столкнуться многие люди по своим рабочим обязанностям, поэтому будет нелишним знать, чем занимается этот орган.

Когда Роскомнадзор проводит плановые проверки

Основная деятельность Роскомназдора – это защита информации. С ней в той или иной степени работает каждое предприятие – любому работодателю нужна информация о сотрудниках, контрагентах и т.д. Чтобы эти файлы не использовались во вред их владельцам, назначается ревизия Роскомнадзора.

Контроль Роскомнадзора

Инспекции бывают четырёх видов, основная из них – плановая. Они происходят строго по графику, который можно увидеть на сайте и подготовиться к ним заранее. Частота проверок – раз в 3 года, при работе с некоторыми категориями информации проверки бывают чаще – раз в 2 года. Если организация молодая, первая встреча с проверяющими состоится только через 3 (или 2) года после открытия.

Остальные виды проверок:

• внеплановая;
• документарная – высылаются документы по списку, может быть только плановой;
• выездная – сотрудники приезжают на предприятие (планово или внепланово).

Чтобы проверить организацию, должны быть веские основания. Директор должен быть осведомлён о том, что именно послужило причиной внимания контролирующих органов.

Внеплановые проверки Роскомнадзора

Что проверяет трудовая инспекция

Такие ревизии происходят, когда есть подозрения, что организация пользуется личной информацией людей в неблаговидных целях. Основания для неё – жалобы на спам, решение прокуратуры или неполное выполнение предписаний после предыдущей плановой проверки. О подобном мероприятии руководителя предупреждают за сутки.

Проверка Роскомнадзора: как подготовиться и избежать штрафов

Что проверяет Роспотребнадзор: как часто проводятся проверки

По законодательству оператором персональных данных считается любая организация, которая взаимодействует с людьми и их документами, т.е.

под это определение подпадают все предприятия, где в штате больше одного человека.

Проверка касается не только юридических лиц, но и ИП, в которых есть хотя бы один наёмный сотрудник, и даже физических лиц, если они работают с чужими карточкам.

Подготовку лучше начать с того, что изучить план проверок Роскомнадзора на 2019 год. Если в нём нет нужной организации, значит, в этом году можно не бояться. О плановой проверке дополнительно приходит предупреждение за 3 дня до неё, но на всякий случай лучше держать документы в порядке постоянно.

Персональная карточка

Проведение внутренней инспекции

Первый шаг – назначение ответственного. За обработку и безопасность персональных данных должны отвечать уполномоченные сотрудники. В зависимости от размера фирмы это может быть руководитель, бухгалтер или кадровик, который занимается этим в качестве дополнительной ответственности, либо специально нанятый для этого сотрудник или отдел.

Второй шаг – выяснение, с какими именно данными имеет дело предприятие. Ответственный за персональные данные должен знать, что именно он собирает и для чего.

На основании этого руководитель составляет внутренние инструкции по работе с персональными данными и разрабатывает политику их обработки. С этими документами должны быть ознакомлены все сотрудники, для которых это важно.

Последний шаг – уведомление Роскомнадзора, что предприятие работает с персональными данными людей.

Важно! Документарная проверка может быть только плановой, это основной вид инспекций для малых предприятий.

Все эти действия нужно сделать сразу, как только предприятие соберётся работать с персональными данными. Они позволят избежать обвинений в непрозрачности бизнеса, а также срочной подготовки к проверкам и бесконечных стрессов. Если документация ведётся аккуратно, то инспекция не отнимет много времени и нервов.

Сотрудники должны быть готовы

Сотрудники учреждения должны знать, кто именно отвечает за персональные данные. Ответственный должен регулярно отчитываться руководству о том, как используется информация. Также он должен обеспечить сохранность данных – бумажные документы должны лежать в сейфах с замками, а электронные – в файлах без общего доступа.

Следует предупредить сотрудников, что во время проверок Роскомназдора по плану нужно вести себя спокойно. Излишняя нервозность, неаккуратность в документах могут навести проверяющих на мысль, что дела в организации или отделе идут не так хорошо, как хочется показать.

Сотрудники и инспекция

Роскомнадзор: что проверяет и на что обращает внимание

Мероприятия по охране труда: план на предприятии

В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.

При плановой ревизии важно:

• какие именно данные обрабатывает компания;
• кто отвечает за обработку;
• где можно ознакомиться с политикой компании (в том числе на сайте);
• кому передаются данные;
• как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
• как хранятся документы, и как контролируется доступ в этих помещениях;
• насколько всё перечисленное соответствует заявленному в документах.

Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.

Что такое персональные данные

Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.

Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.

Важно! Если согласия нет, могут последовать наказания – штрафы, блокировка сайта, приостановка работы, отзыв лицензии.

Все должно храниться в сейфе

Как проходит проверка Роскомнадзора по защите персональных данных

Программа предусматривает поэтапное взаимодействие:

• предприятие получает уведомление (при плановой проверке – за 3 дня, при внеплановой – за сутки), в нём указывается дата проведения и номер приказа;
• при документарной проверке (только плановой) высылается запрос и перечень документов, которые нужно представить. Руководитель высылает копии, заверенные своей подписью;
• при выездной проверке (плановой или внеплановой, может следовать за документарной, если выявлены недочёты) приезжают два инспектора, которые проверяют соответствие документов реальному положению дел;
• контролирующий орган выносит решение и даёт предписания;
• предприятие выполняет предписания.

Важно! Если предписания выполнены в срок, предприятие продолжает свою деятельность без взысканий.

Где публикуется реестр Роскомнадзора

Чтобы руководители могли заранее узнать, когда придёт Роскомнадзор, график проверок публикуется на сайте. Списки проверяемых компаний составляются на каждый год и хранятся в течение длительного времени, так что можно поднять информацию за прошедшие года.

Можно ли обжаловать результаты

Если проверка была проведена не по правилам, то руководитель предприятия может обжаловать её результаты. Важно обратить внимание на сроки уведомления, аккредитацию инспекторов, соблюдение ими правил проверки. Если что-то из этого было нарушено, а предприятие пострадало, составить возражение можно в течение 15 дней.

Не нужно бояться инспекции

С персональной информацией работают все – образование, здравоохранение, общепит, и даже небольшое ИП с одним сотрудником. Утечка личных карточек может нанести серьёзный вред, и именно на его предотвращение направлена инспекция Роскомнадзора.

Источник: https://ohranatryda.ru/pryntsypy-organizatsyy-ot/roskomnadzor-cto-proveraet.html

Почему и как Роскомнадзор проводит проверки управляющих организаций

Управляющие организации, ТСЖ и кооперативы по роду своей деятельности являются операторами персональных данных, поэтому в отношении таких организаций Роскомнадзор имеет право проводить проверки согласно постановлению Правительства РФ от 13.02.2019 № 146. Рассказываем об этом подробнее.

Уо и тсж являются операторами персональных данных

Персональные данные (ПДн) – это любая информация, которая относится к физическому лицу – субъекту ПДн и помогает идентифицировать его (ч. 1 ст. 3 № 152-ФЗ). К таким данным относятся общие сведения о человеке: фамилия, имя, отчество, дата и место рождения, данные документа, удостоверяющего личность, другие сведения, по которым прямо или косвенно можно определить конкретного человека.

Действия, которые совершаются с ПДн: сбор, запись, систематизация и накопление, хранение, обновление, изменение, использование, передача и др. – называются их обработкой (ч. 3 ст. 3 № 152-ФЗ). Лица и организации, обрабатывающие персональные данные, являются операторами ПДн.

УО, ТСЖ и кооперативы обрабатывают персональные данные жителей многоквартирных домов в силу пп. 2 ст.

Обработку персональных данных подразумевают заключённый УО с собственниками помещений в МКД договор управления или устав ТСН (ст. ст. 135, 155, 162 ЖК РФ).

Вправе ли УО передавать РСО персональные данные при прямом договоре

Роскомнадзор получил право проводить проверки операторов персональных данных

Поскольку УО, ТСЖ и ЖК работают с персональными данными собственников и жителей многоквартирных домов, то к ним применяются нормы постановления Правительства РФ от 13.02.2019 № 146. Постановлением в соответствии с ч. 1.1 ст. 23 № 152-ФЗ утверждены Правила проведения государственного контроля и надзора за обработкой персональных данных.

Согласно п. 2 ПП РФ № 146, функции госконтроля и надзора за обработкой ПДн возложены на Роскомнадзор. Ведомство должно предупреждать, выявлять и пресекать нарушения в деятельности операторов персональных данных.

Для этого Роскомнадзор уполномочен проводить плановые и внеплановые, документарные и выездные проверки, профилактические мероприятия, принимать меры, чтобы устранить последствия противоправных действий операторов ПДн (п. 3 ПП РФ № 146).

Уо и тсж могут попасть в план проверок раз в два года

Плановые проверки в отношении операторов персональных данных проводятся в соответствии с графиком, размещённым в интернете. Попасть в такой план может любой оператор ПДн, если с момента его регистрации как юрлица или с момента последней проверки прошло 3 года (п.п. 5, 6 ПП РФ № 146).

При этом поставщики информации в государственные информационные системы могут оказываться в плане по контролю чаще: раз в два года (пп. «а» п. 7 ПП РФ № 416).

Роскомнадзор имеет право проводить и внеплановые проверки операторов ПДн по нескольким основаниям:

• неисполнение выданного ранее предписания по устранению нарушений;
• по требованию прокурора, поручению Президента РФ, Правительства РФ;
• по заявлению граждан, если они в обращении докажут факт нарушения их прав;
• по результатам проверки, проведённой Роскомнадзором без взаимодействия с оператором ПДн.

Внеплановые проверки, организованные по двум последним приведённым выше причинам, должны быть согласованы с прокуратурой.

Роскомнадзор об обработке персональных данных

Уо и тсж уведомляются за 3 дня или за 24 часа до начала проверки

О проведении плановой проверки Роскомнадзор должен уведомить оператора не позднее, чем за 3 рабочих дня до этого, о внеплановой – не менее чем за 24 часа до её начала (п.п. 11, 12 ПП РФ №416). Копия приказа о проведении проверки направляется проверяемому:

• по почте с уведомлением о вручении;
• по электронной почте, если адрес оператора размещён на его сайте;
• по электронной почте, если оператор сообщал адрес ранее в Роскомнадзор;
• либо другим доступным способом.

При этом электронный образ документа должен быть подписан усиленной электронной подписью уполномоченного должностного лица Роскомнадзора.

Срок проведения плановой проверки – 20 рабочих дней, внеплановой – 10 рабочих дней. Продлить проверку можно не более, чем в два раза (п.п. 16, 17 ПП РФ № 416). Во время контрольных мероприятий проверяются соблюдение оператором требований к обработке ПДн, документы и информационные системы персональных данных.

Оператор ПДн обязан ответить на запрос Роскомнадзора в течение 5 рабочих дней

Роскомнадзор может проводить плановые выездные и документарные проверки. Внеплановые проверки могут быть только выездными (п. 25 ПП РФ № 416).

В рамках документарной проверки оператор ПДн должен предоставить документы и информацию по запросу ведомства в течение 5 рабочих дней со дня получения письма (п. 27 ПП РФ № 416). Документы предоставляются в виде заверенных печатью и подписью копий либо в электронном виде с использованием усиленной электронной подписи.

Дополнительные пояснения в рамках той же проверки должны быть направлены оператором ПДн в ведомство в течение 3 рабочих дней после получения запроса (п. 30 ПП РФ № 416).

Необходимо обратить внимание, что дата поступления ответа на запрос от оператора – это дата, которую указывает Роскомнадзор при принятии пакета документов, а не дата его отправки. Если документы не предоставлены в срок, то в отношении оператора проводится выездная проверка.

Что делать с персональными данными в протоколе ОСС для ГИС ЖКХ

Оператор ПДн обязан создать условия для проведения проверки

Если документарная проверка проходит по месту размещения Роскомнадзора, то выездная – по месту размещения оператора персональных данных. Если оператор является физическим лицом, а не юрлицом или индивидуальным предпринимателем, то в его отношении выездная проверка проводиться не может (п. 32 ПП РФ № 416).

Перед началом проверки должностное лицо Роскомнадзора должно предъявить удостоверение и ознакомить проверяемого с приказом о проведении выездной проверки (п. 33 ПП РФ № 416). Оператор ПДн со своей стороны должен создать необходимые условия для проведения контрольных мероприятий, обеспечить доступ в помещения и к оборудованию.

Если проверяемый препятствует действиям сотрудников Роскомнадзора, проводящих проверку, то об этом составляется акт. Затем контрольный орган имеет право обратиться в прокуратуру или в правоохранительные органы (п. 38 ПП РФ № 416).

При составлении такого акта, а также при отсутствии оператора ПДн в день проверки она приостанавливается до момента устранения причин остановки либо же до проведения внеплановой проверки без предварительного уведомления оператора ПДн (п.п. 39, 40 ПП РФ № 416).

За неустранение нарушений выдаётся требование об остановке обработки персональных данных

По результатам проверки Роскомнадзор составляет в двух экземплярах акт, в котором делает заключение об отсутствии нарушений или об их наличии с указанием на статьи НПА (п.п. 43, 44 ПП РФ № 416). При этом акт должен быть подписан представителем проверяемого юрлица или индивидуального предпринимателя. Если оператор ПДн отказался подписать акт, то об этом в акте делается отметка.

Экземпляр акта проверки вручается оператору персональных данных под подпись или направляется с уведомлением о вручении либо другим доступным способом в течение 10 дней со дня его подписания (п. 44 ПП РФ № 416).

Если невыполнение предписания влечёт нарушение прав и интересов субъектов персональных данных, то оператор обязан по требованию Роскомнадзора прекратить обработку любых персональных данных до устранения допущенных нарушений (п. 50 ПП РФ № 416). Если этого не сделать, оператор ПДн будет привлечён к административной ответственности.

Важно знать

• Правила проведение проверок управляющих организаций и ТСЖ как операторов персональных данных во многом схожи с правилами проверок, которые проводит в их отношении орган Госжилнадзора.
• УО и ТСЖ должны иметь в виду, что Роскомнадзор имеет право планово проверять их чаще, чем других операторов ПДн, поскольку они являются поставщиками информации в ГИС ЖКХ.
• В ходе контрольных мероприятий будут проверяться как документы, так и порядок их хранения и информационные системы, с помощью которых происходит обработка ПДн.
• Хотя внеплановыми могут быть только выездные проверки, плановая документарная проверка легко может превратиться во внеплановую, если Роскомнадзор обнаружит какие-либо нарушения в работе оператора ПДн или в срок не получит необходимые документы.

В случае неустранения нарушений, затрагивающих интересы и права субъектов ПДн, оператор обязан остановить любую обработку персональных данных. В отношении УО и ТСЖ это значит, что в такой ситуации они не смогут выставлять счета на оплату жилищно-коммунальных услуг, проводить общие собрания собственников, передавать данные в РСО в рамках договоров ресурсоснабжения и даже обрабатывать заявки, поступающие в аварийно-диспетчерскую службу.

Источник: https://roskvartal.ru/deyatelnost-uk/10253/pochemu-i-kak-roskomnadzor-provodit-proverki-upravlyayuschih-organizaciy

Что проверяет Роскомнадзор?

Роскомнадзор контролирует соблюдение закона о защите персональных данных. С проверкой этого ведомства может столкнутся любая организация, которая имеет дело с личной информацией физических лиц. Что может инициировать процедуру ревизии?

Роскомнадзор

Роскомнадзор – орган, на который возложен контроль за соблюдением законодательства в сфере связи, информационных технологий и массовых коммуникаций. Положение о нем утверждено Постановлением Правительства РФ от 16 марта 2009 года № 228.

Помимо ряда специфических надзорных функций, ведомство проверяет законность обработки персональных данных.

Таким образом в круг интересов ведомства попадают все фирмы и предприниматели, которые так или иначе имеют дело с личной информацией физических лиц, в том числе своих работников, клиентов и покупателей.

• Проводя ревизию, специалисты регионального управления Роскомнадзора будут руководствоваться:
• — КоАП РФ;
• — Федеральным законом от 27 июля 2006 года № 152-ФЗ;
• — Федеральным законом от 26 декабря 2008 года № 294-ФЗ;

В круг интересов ведомства попадают все фирмы и предприниматели, которые так или иначе имеют дело с личной информацией физических лиц, в том числе своих работников, клиентов и покупателей.

— Постановлением Правительства РФ от 16 марта 2009 года № 228;

— Административным регламентом, утвержденным Приказом Минкомсвязи России от 14 ноября 2011 года № 312.

Срок проведения каждой инспекции (документарной и выездной по отдельности) не может превышать двадцать рабочих дней. Если исследуется субъект малого предпринимательства, то общий период проведения плановых выездных контрольных мероприятий не может превышать пятьдесят часов в год, а для микропредприятия – пятнадцать часов в год.

В исключительных случаях срок проведения ревизии продлевается, но не более чем на двадцать рабочих дней. Если проверяется субъект малого предпринимательства, то увеличение срока возможно не более чем на пятнадцать часов. Плановая проверка может проводиться не чаще, чем раз в три года. К внеплановым визитам это ограничение не относится.

План проверок

В исключительных случаях срок проведения ревизии продлевается, но не более чем на двадцать рабочих дней. Если проверяется субъект малого предпринимательства, то увеличение срока возможно не более чем на пятнадцать часов.

Запланированные ревизии чиновники могут проводить на основании разрабатываемых региональными управлениями Роскомнадзора ежегодных планов. Они согласовываются с органами прокуратуры и размещаются в Интернете. О проведении плановой проверки компанию уведомляют не позднее чем в течение трех рабочих дней до ее начала.

1. Внеплановые проверки проводятся в случаях, когда:
2. — истекает срока исполнения фирмой или предпринимателем ранее выданного предписания об устранении нарушения;
3. — получены обращения граждан, юридических лиц, предпринимателей, поступила информация от органов государственной власти или из средств массовой информации об угрозе причинения или причинении вреда жизни, здоровью граждан;
4. — получено поручение Президента или Правительства РФ;
5. — произошло нарушение прав и законных интересов граждан действиями организаций при обработке их персональных данных;
6. — нарушены требования законодательства в области персональных данных, а также выявлено несоответствие сведений, содержащихся в уведомлении об обработке личной информации граждан, фактической деятельности.

О проведении внеплановой выездной проверки фирма уведомляется не менее чем за двадцать четыре часа до начала ее проведения. Если в результате деятельности компании причинен или причиняется вред жизни и здоровью граждан, такого уведомления не требуется.

20 Февраля 2013, 14:30

Источник: http://www.raschet.ru/articles/5469/9754/

Утвержден новый порядок проведения проверок Роскомнадзором — Право на vc.ru

13 февраля 2019 года было принято постановление правительства РФ № 146, которое устанавливает Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных (далее — Правила).

Данные правила определяют порядок проведения проверок индивидуальных предпринимателей и юридических лиц, а также порядок осуществления надзора за операторами персональных данных. Правила не распространяются на контроль и надзор за выполнением организационных и технических мер согласно ФЗ «О защите персональных данных», ст. 19 Закона.

Данные Правила определяют порядок действий:

— Кто попадает под плановые проверки;

— Основания проведения внеплановых проверок;

— Порядок проведения проверок;

— Порядок проведения документарных проверок;

— Порядок проведения выездных проверок;

— Порядок обжалования результатов проведения проверки;

Кто попадает под плановые проверки?

Запланированные проверки производятся в соответствии с ежегодными планами проверок, которые размещаются на официальных сайтах государственных органов.

Ознакомиться с планом проверок Роскомнадзора на 2019 год можно здесь.

Критерием для включения организации в план проверок является истечение 3 лет со дня государственной регистрации компании или проведения последней плановой проверки.

Правила также устанавливают возможность проведения плановых проверок не чаще 1 раза в 2 года в следующих случаях:

— При обработке биометрических персональных данных или специальных категорий персональных данных;

— При трансграничной передаче персональных данных в страны, не обеспечивающие адекватную защиту прав субъектов. Список таких стран.

— При обработке персональных данных по поручению иностранного государства.

Основания проведения внеплановых проверок

Правила содержат исчерпывающий перечень оснований для инициирования процедуры проведения внеплановой проверки:

— В случае неисполнения или частичного исполнения предписания Роскомнадзора;

— Согласно поручению президента РФ или правительства РФ;

— Согласно требованию прокурора об осуществлении внеплановой проверки;

— По решению руководителя Роскомнадзора при проведении мероприятий по контролю за операторами без взаимодействия с ними;

Следует отметить, что проведение выездной проверки без согласования с прокуратурой невозможно, если проверка инициирована на основании жалоб граждан или по решению оператора в соответствии с результатами контрольных мероприятий.

Порядок проведения проверок

Роскомнадзор должен уведомить оператора о проведении плановой проверки не позднее чем за 3 рабочих дня до даты ее начала, путем направления приказа заказным письмом или отправкой документа на адрес электронной почты.

При проведении внеплановой проверки Роскомнадзор должен уведомить оператора не менее чем за 24 часа до ее начала.

В отношении чего проводится проверка?

Проверка проводится в отношении документов и локальных актов оператора, указанных в ст. 18.1. ФЗ «О защите персональных данных», а также в отношении принимаемых мер оператором персональных данных.

Дополнительная информация по данному вопросу доступна в открытых источниках в интернете.

Также проверка производится в отношении деятельности оператора и информационных систем персональных данных оператора, касающихся обработки. В данном аспекте Роскомнадзор на основе выборки изучает, каким образом производятся сбор и хранение персональных данных, кому они передаются в ходе обработки. Проверяются сроки хранения, порядок и способы прекращения обработки данных.

Какой срок проведения проверки?

Срок проведения плановой проверки составляет 20 рабочих дней, может быть продлен еще на 20 рабочих дней.

Срок проведения внеплановой проверки составляет 10 рабочих дней, может быть продлен еще на 10 дней.

Если проверка проводится в отношении организации, которая осуществляет деятельность на территории нескольких субъектов, то для каждого филиала устанавливается свой срок, при этом общий срок проведения проверки для компании не может превышать 60 рабочих дней.

На основании чего сроки проверки продлеваются?

— Если в ходе проверки контролирующим органом будут получены данные, свидетельствующие о нарушении оператором закона о персональных данных;

— При возникновении обстоятельств непреодолимой силы в месте проведения проверки (пожар, затопления и т.д.);

— В случае непредоставления оператором документов, запрашиваемых контролирующим органом в ходе проверки;

— При затруднениях в связи с большим объемом проверяемых данных или сложностью технологических процессов обработки.

Порядок проведения документарных проверок

Документарная проверка проводится только при проведении плановой проверки посредством анализа запрашиваемых документов.

Еще раз обращаю внимание, что эти запросы не являются документарной проверкой!

Сроки проведения документарной проверки

В ходе проведения документарной проверки Роскомнадзору необходимо предоставлять документы в течение 5 рабочих дней с момента получения запроса. При этом, моментом получения таких документов будет являться дата с отметкой органа о получении.

Таким образом, на оператора возлагается ответственность за соблюдение сроков, даже при отправке документов почтой.

Однако, Правилами предусмотрена возможность предоставления документов в электронной форме, подписанных усиленной электронной цифровой подписью.

В случае непредоставления документов в указанный срок или пояснений по предоставленным документам в трёхдневный срок, Роскомнадзор в праве инициировать проведение выездной проверки.

Порядок проведения выездных проверок

Сразу скажу, что выездные проверки в отношении Операторов-физических лиц, не являющихся индивидуальными предпринимателями, не проводятся.

Выездная проверка должна начинаться:

— с предъявления служебного удостоверения должностного лица;

— c ознакомления с приказом о назначении выездной проверки и полномочиями должностных лиц, а также целями, задачами и основаниями проведения выездной проверки.

До начала проведения процедуры должностные лица должны предъявить письменный запрос о предоставлении документов и информации, необходимых для проверки.

Предоставляемые документы должны быть заверены печатью организации и подписью руководителя организации.

Важно оказывать содействие должностным лицам Роскомнадзора при проведении выездной проверки в т.ч. по предоставлению доступа к помещениям оператора или оборудованию, через которое может производится обработка персональных данных.

В противном случае проверяющая сторона может составить акт о воспрепятствовании проведению выездной проверки.

На основании такого акта могут быть привлечены сотрудники правоохранительных органов для оказания содействия в проведении проверки.

Сроки проведения выездной проверки

Срок для предоставления документов и информации не может составлять менее 2 рабочих дней со момента вручения запроса. Если полученных документов недостаточно для осуществления проверки, Роскомнадзор вправе запросить дополнительные сведения.

В случае воспрепятствования проведению выездной проверки, контролирующий орган может приостановить проведение проверки на срок не более одного месяца с момента составления акта. Если причины приостановки не устранены, то Роскомнадзор в праве составить акт о невозможности проведения проверки.

При таких обстоятельствах, проверяющий орган в праве провести плановую и внеплановую выездную проверку в течение 3 месяцев без предварительного уведомления оператора.

Результаты проведения проверки

Тут все просто. По результатам проверки устанавливается факт отсутствия нарушений либо их наличие с указанием нормативных актов, которые были нарушены.

Если оператор уклоняется от подписания акта, то в нем делается соответствующая отметка, акт проверки направляется оператору на обычную или электронную почту в 10-дневный срок со дня подписания.

К акту должны быть приложены протоколы, справки, пояснения оператора и иные документы подтверждающие результаты проверки.

Спорный акт можно обжаловать во внесудебном порядке в вышестоящий орган Роскомнадзора, либо в судебном порядке с соблюдением правил подсудности.

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

Источник: https://vc.ru/legal/59122-utverzhden-novyy-poryadok-provedeniya-proverok-roskomnadzorom

Особенности проверок Роскомнадзора в 2016 году

В 2006 году был издан закон №152-ФЗ «О персональных данных». Он определил ответственность компаний за деятельность по работе с персональными данными людей.

Несмотря на то, что закон был принят более 10 лет назад, для многих компаний проверки Роскомнадзора, представляются сложной и непонятной процедурой с неизвестным итогом.

Почему компании так боятся проверок?

• В 2015 году вступил в силу закон ФЗ-242, который расширил полномочия Роскомнадзора по проведению проверок. Проверки теперь регулируются только административным регламентом Роскомнадзора, так как ФЗ-242 вывел проверки на соблюдение закона о персональных данных из-под действия ФЗ- 294 о защите прав юрлиц и ИП при проверках.
• Вступили в силу требования о локализации баз данных на территории Российской Федерации, который добавил сложностей компаниям.

• К плановым проверкам сложно подготовиться. Обычно в России в год проходят тысячи таких проверок. Несмотря на то, что сроки известны, но порой найти даты проверки, а также узнать, как проходит подготовка и что нужно сделать, затруднительно. Информации для подготовки в интернете мало или она устарела.
• Роскомнадзор проводит внеплановые проверки. Например, по заявлению гражданина о нарушении его прав в данной компании. В этом случае сотрудники Роскомнадзора приходят неожиданно и просят предоставить документацию согласно закону в кратчайшие сроки. Что именно нужно предоставить, а главное, как это подготовить за 1 сутки, сотрудники компании не знают.
• Законодательство в сфере защиты персональных данных постоянно меняется. Только за 2015 год появилось около 10 новых актов, регулирующих данную сферу. В 2017 году вступят в силу изменения, связанные с моделированием угроз и с передачей персональных данных коллекторам и обработкой персональных данных должников.
• Роскомнадзор в равной степени проверяет как крупные компании, так и микропредприятия, индивидуальных предпринимателей или представителей малого и среднего бизнеса. А значит, что от проверки не застрахован никто.
• Штрафы за нарушение закона высоки. И в 2017 году планируется принять новый кодекс об административных правонарушениях (КоАП), который ужесточит наказания за нарушения в части роста количества штрафов и их размера — вплоть до 300 000 рублей.
• С 2016 года Роскомнадзор стал запрашивать больше информации (около 30 документов), а проверки стали объемнее и тщательнее. Так, например, стали проверять информационные системы непосредственно, а не по скриншотам форм, страниц и полей, как было ранее.
• Метаданные (IP, местонахождение, cookies и др.) являются тоже персональными данными, поэтому теперь нужно брать разрешение на их обработку с пользователей.
• Уровень проверок стало более детальным. Эксперты с учетом прошлых проверок теперь хорошо разбираются в особенностях IT-систем, бизнес-процессов, интернет-сервисов.

Для того чтобы избавиться от страхов, необходимо обратиться за помощью к экспертам и вовремя подготовить документы.

При проверках Роскомнадзор руководствуется своим регламентом, размещенном на сайте, а также сложившейся практикой. В конце 2016 — начале 2017 года будет принят законопроект, который позволит Роскомнадзору самому определять порядок проверок. Минусы этого закона для компаний в том, что данный орган по сути никто не будет контролировать.

В данной статье мы расскажем вам об особенностях проверок и о том, к чему вам готовиться.

Итак разберем виды проверок:

1. Плановая проверка проводится в конце года, предшествующего году проверки по истечении трех лет с момента регистрации компании или индивидуального предпринимателя, либо с момента последней проверки. План проверок выкладывается на сайтах территориальных органов Роскомнадзора. При этом с 2016 года РКН перестал предоставлять планы проверок в Прокуратуру, поэтому найти из через порталы прокуратуры не получится.

Плановые проверки бывают двух типов:

• Выездные проверки проводят не менее двух представителей Роскомнадзора, которые выезжают в офис проверяемой компании, изучают обстановку, общаются с ответственным лицом и другими сотрудниками компании, забирают запрошенные ранее документы и уезжают. Если проверяемая компания крупная — представители Роскомнадзора выезжают на ее объекты чаще одного раза за проверку.
• Документарные проверки проводятся удаленно через запрос необходимых документов. Их оператор персональных данных направляет в Роскомнадзор по электронной почте для анализа.

1. Внеплановая проверка проводится только на выезде с обязательным уведомлением компании о посещении не менее чем за сутки.

Выезд сотрудников с внеплановой проверкой происходит по следующим основаниям:

• физические или юридические лица (пользователи, клиенты, конкуренты и т.д.) подали жалобу на компанию в Роскомнадзор, где рассказали о нарушениях прав субъектов персональных данных;
• по требованию прокурора (в органы прокуратуры поступили материалы и обращения о нарушении законодательства по персональным данным);
• представители Роскомнадзора увидели информацию о нарушениях в СМИ, либо получили ее от государственных органов (например, Трудовой инспекцией);
• компания не устранила обнаруженные нарушения в установленный в предписании срок, либо компания не уведомила об этом надзорный орган;
• Президент или Правительство поручили провести проверку;
• компания-оператор персональных данных предоставила неполные/недостоверные ответы на запросы Роскомнадзора, либо не ответила в течение 30 дней;
• в ходе мероприятий систематического наблюдения были обнаружены нарушения законодательства;
• сведения в уведомлении об обработке персональных данных компанией не соответствуют действительности (например, адрес местонахождения баз данных).

1. Мероприятия систематического наблюдения также проводятся представителями Роскомнадзора в режиме онлайн в рамках целой отрасли. В ходе наблюдения анализируют изменения в ЕГРЮЛ, актуальность сведений о базах данных в уведомлениях, изучают сайт компании, отзывы в интернете, в СМИ. На основании этих факторов делают вывод, может ли компания потенциально нарушать закон. В случае подозрений сотрудники Роскомнадзора письменно просят дать разъяснения. Если ответ был несвоевременный или неполный, то представители Роскомнадзора могут инициировать внеплановую проверку и наложить штрафы. Это способ контроля Роскомнадзором выполнения требований законодательства, который начал активно применяться с 2015 года.

Что проверяет Роскомнадзор

С 2015 года Роскомнадзор запрашивает информацию блоками, изучая их в офисе компании последовательно в разные дни:

1. Общие вопросы. Сюда входят регистрационные данные организации, категории обрабатываемых персональных данных, цели этих действий, системы, где происходит хранение и передача сведений, документация, касающаяся работы с персональными данными.
2. Кадровый блок. К нему относятся методы подбора персонала, формы согласия на обработку персональных данных, получаемых от клиентов и сотрудников, все справки и договоры о порядке получения и хранения сведений от субъектов персональных данных.
3. Информационные системы персональных данных. Здесь Роскомнадзору понадобится информация обо всем программном обеспечении, используемом для обработки персональных данных, его подробное описание и назначение, операции, совершаемые им, а также сведения о создании, хранении и уничтожении резервных копий.
4. Интернет-сервисы. Сюда относят информацию о веб-ресурсе предприятия, его базах данных, используемых на нем системах сбора и обработки персональных данных, статистике посещений как через браузер, так и с помощью мобильных приложений.

• Ссылка на список запрашиваемых документов.
• Давайте рассмотрим некоторые блоки более подробно.
• Информационные системы

В этом блоке проверяют все IT-системы, где происходят действия с персональными данными.

Практически всегда специалисты запрашивают не просто устное описание программы и ее функций, а блок-схему работы ПО, хранения персональных данных.

Выглядеть она может, например, таким образом: подробный разбор того, как персональные данные попадают в систему, путь, по которому проходит информация во время обработки, передача личных сведений конечному пользователю.

Также запрашивается документальная информация обо всех участниках процесса. Особо внимательно эксперты изучают роль трансагентов: необходимо как можно подробнее объяснить, каким образом они получают информацию и для каких целей. Часто требуются договоры с этими партнерами.

Еще один важный момент — необходимо документально подтвердить место, где находится система обработки персональных данных. Также надо быть готовым к тому, что Роскомнадзор может напрямую запросить сведения о локализации IT-службы или базы данных у поставщика этих услуг.

Стоит иметь в виду, что инспекторы могут потребовать наглядно продемонстрировать работу информационной системы.

Для этого необходимо, чтобы ваш сотрудник в присутствии специалиста Роскомнадзора показал все операции, совершаемые с персональными данными: получение, обработку, передачу, уничтожение и т.д.

Источник: https://blog.b-152.ru/blog/osobennosti_proverok_roskomnadzora/

Проверки Роскомнадзора: чего ждать?

Обработка персональных данных стала головной болью предпринимателей. Ужесточённая ответственность в области персональных данных действует больше года. При этом вместо одной статьи и одного возможного основания привлечения к ответственности их стало намного больше. Изменения коснулись и условий проведения проверок тех, кто обрабатывает данные. Разбираемся, чего ждать.

13 февраля Постановлением Правительства РФ №146 были утверждены новые Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. 23 февраля изменения вступили в силу и уже действуют.

По сравнению с действующим регламентом новые Правила содержат ряд важных изменений, на которые необходимо обратить внимание любому, кто хоть как-то связан с обработкой персональных данных.

Что говорят планы?

Хорошая новость для тех, кто в любой момент ждёт надзорные органы в гости. Оснований прийти «на чай» стало на одно меньше. Начало обработки персональных данных более не является основанием для включения проверки организации в план Роскомнадзора. Теперь она делается по истечении 3-х лет после создания юрлица или регистрации ИП, либо через 3 года после последней проверки.

А если внезапно?

Появилось новое основание для внеплановой проверки: проверку смогут провести по решению руководителя Роскомнадзора или его территориального органа по итогам рассмотрения докладной записки.

Из неё должно следовать, что есть нарушения, которые выявлены в ходе контрольных мероприятий, проведённых без взаимодействия с оператором. К ним относится, например, наблюдение за тем, как компания или ИП размещает информацию в Интернете и СМИ.

Так что, если, например, вы публикуете персональные данные клиентов в рамках их отзывов без их разрешения, либо у вас нет никаких юридических документов в области защиты персональных данных на сайте, а вы эти данные там собираете, то ждите в гости проверяющих.

Что ждать от тех, кто уже пришёл?

1. Сокращён срок проведения внеплановой проверки: теперь это 10 дней, а не 20, как раньше. Плановые проверки без изменений – длятся 20 дней.
2. Отменены внеплановые документарные проверки. То есть больше не смогут просить прислать документы или разъяснения по ним.

3. Для плановых документарных проверок сокращены сроки предоставления документов и пояснений по поводу ошибок и противоречий в надзорный орган – теперь надо предоставить документы за 5 рабочих дней, а дать пояснения за 3 рабочих дня. Раньше было 10 дней на оба случая.

4. Оператор обработки персональных данных теперь обязан предоставлять документы по запросу до начала выездной проверки. Документы представляются в виде копий, заверенных печатью (если она есть) и подписью представителя оператора. Их можно будет направить через Интернет, заверив усиленной квалифицированной электронной подписью.

   Сделать это нужно в срок не менее 2 рабочих дней, так что хватит времени, чтобы подготовить и прислать их.

Можно ли продлить удовольствие?

Расширен перечень оснований для продления проверки. Теперь проверка будет продлена, если:

• Роскомнадзор получил документы о нарушении требований к обработке персональных данных;
• возникли обстоятельства непреодолимой силы;
• оператор не представил нужные документы;
• проверяющие столкнулись с большим объёмом работы.

Ранее только последнее обстоятельство служило поводом для продления проверки. Теперь государственный орган обязан уведомлять о продлении проверки. Правда, лишь постфактум – в течение трёх дней со дня издания приказа о продлении.

А если найдут нарушения?

То есть время исправить их до наложения ответственности. Предельный срок для устранения нарушений – 6 месяцев со дня выдачи предписания.

Помимо этого надзорный орган может потребовать у оператора приостановить обработку персональных данных. Это возможно в том случае, если неисполнение предписания нарушает права и законные интересы субъекта персональных данных (например, ваших клиентов или работников).

Источник: https://jurvest.ru/blog/post/proverki-roskomnadzora-chego-zhdat/

Проверки Роскомнадзора: что необходимо знать (Часть 4)

Иван Носков, юрист Зарцын и партнеры

Итоги проверки Роскомнадзора

При завершении проверки составляется акт, в котором указываются ее результаты: выявленные нарушения и меры ответственности, применяемые к проверяемому.

С актом проверки руководитель/представитель Оператора знакомится лично, подтверждая ознакомление своей подписью. В отсутствие руководителя акт направляется в адрес проверяемого лица заказным письмом с уведомлением о вручении.

В течение 15 дней с даты получения акта проверки компания вправе представить в Управление возражения по результатам проверки в письменной форме и приложить к таким возражениям документы, подтверждающие их обоснованность, или их заверенные копии (ч. 4 и 12 ст. 16 ФЗ № 294).

Чтобы встретить инспектора в «полной боевой готовности», вы должны понимать, что относится к его полномочиям:

а) Составление протокола об административной ответственности. Составленный протокол согласовывает руководитель Управления Роскомнадзора. Протоколы по статьям КоАП, по которым Управление не имеет полномочий налагать ответственность (ст. 14.1 КоАП РФ), направляются в суд, и уже там решают, кто прав.

б) Выдача предписания об устранении выявленного нарушения с обязательным указанием сроков. Неустранение нарушения в указанный срок влечет привлечение к административному штрафу (до 20 тысяч рублей) и проведению внеплановой проверки.

Следует отметить, что согласно нормам КоАП РФ к административной ответственности может быть привлечено как юридическое, так и должностное лицо (единоличный исполнительный орган).

При выявлении серьезного нарушения лицензионных условий инспектор может выдать предупреждение «о приостановлении действия лицензии» и предписание. Если будет подтверждено, что указанное в таком предписании нарушение не устранено, начнется процедура приостановления. При непринятии мер по устранению нарушения в суд подается заявление об аннулировании лицензии.

Недействительность результатов проверки

Если проверка была проведена с грубыми нарушениями, то ее результаты не могут быть доказательством нарушения и могут быть отменены вышестоящим органом государственного контроля (надзора) или судом на основании заявления проверяемой стороны (ст. 20 Закона 294-ФЗ).

• Грубыми нарушениями являются:
• – Отсутствие оснований для проведения плановой проверки (проверка проводится не чаще, чем один раз в два года, на основании разрабатываемых органами контроля ежегодных планов).
• – Привлечение в качестве экспертных организаций (экспертов) к проведению мероприятий по контролю не аккредитованных в установленном порядке юридических лиц, индивидуальных предпринимателей и не аттестованных в установленном порядке граждан.
• – Нарушение сроков уведомления проведения плановой проверки ЮЛ или ИП (не позднее чем в течение трех рабочих дней до начала должна быть направлена копия распоряжения или приказа о начале проведения плановой проверки заказным письмом с уведомлением о вручении или иным способом).
• – Нарушение сроков уведомления проведения внеплановой проверки ЮЛ или ИП (уведомляются не менее чем за 24 часа до начала любым доступным способом, исключение – внеплановая выездная проверка).

– Отсутствие оснований проведения внеплановой выездной проверки.

Основаниями являются обращения и заявления, информация, полученная от органов государственной власти / местного самоуправления или из СМИ, о следующих фактах: причинение или возникновение угрозы причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, безопасности государства, а также угрозы чрезвычайных ситуаций природного и техногенного характера. Кроме того, не являются основаниями для проведения внеплановой выездной проверки обращения и заявления, не позволяющие установить обратившееся лицо, а также заявления, не содержащие сведений об указанных фактах.

1. – Отсутствие согласования с органами прокуратуры внеплановой выездной проверки в отношении юридического лица или ИП.
2. – Нарушение сроков и времени проведения проверок в отношении субъектов малого предпринимательства (срок проведения плановой выездной проверки не может превышать 50 часов для предприятия штатом до 100 человек и 15 часов для предприятия штатом до 15 человек в год).
3. – Проведение проверки без распоряжения или приказа руководителя, заместителя руководителя органа государственного контроля (надзора), органа муниципального контроля.
4. – Требование документов, не относящихся к предмету проверки.
5. – Непредставление акта проверки.
6. Результаты проверки и другие действия инспекторов Управления Роскомнадзора могут быть обжалованы как в вышестоящем органе (Федеральной службе), так и в прокуратуре и суде.
7. Вот один из ярких примеров обнаружения нарушений и последствия для проверяющих: Управление Генеральной прокуратуры Российской Федерации в Центральном федеральном округе в ходе проверки выявило нарушения в деятельности Управления Роскомнадзора по ЦФО (далее – Управление).

Установлено, что должностные лица Управления не всегда исполняли требования ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». В частности, они допускали нарушения при уведомлении юридических лиц о проверках, оформлении их результатов, а также ознакомлении уполномоченных представителей юридического лица с актами проверок.

Выявлены случаи составления в один день, в одно и то же время и одними и теми же должностными лицами Управления актов плановых выездных проверок нескольких организаций, расположенных по различным адресам.

Кроме того, установлены нарушения требований ФЗ «О государственной гражданской службе Российской Федерации» при представлении сотрудниками Управления сведений о доходах, об имуществе и обязательствах имущественного характера.

На противоречащие требованиям федерального законодательства нормативные акты Управления принесены протесты.

Ответственность

Если проверка прошла без нарушений со стороны Роскомнадзора, но выявлены нарушения с вашей стороны, то вам стоит знать, что за нарушение законодательства о персональных данных предусмотрена как административная, так и уголовная ответственность.

Начнем, пожалуй, с административной. В таблице ниже вы можете ознакомиться с нарушениями и наказаниями, следующими за ними.

Если в ходе проверки сотрудники Роскомнадзора выявят признаки уже не нарушения, а преступления, то они передадут соответствующие материалы в правоохранительные органы.

Уголовный кодекс России устанавливает ответственность за такие виды преступлений в сфере обработки персональных данных, как:

• нарушение неприкосновенности частной жизни (ст. 137 УК РФ);
• неправомерный доступ к компьютерной информации (ст. 272 УК РФ).

Нарушение неприкосновенности частной жизни – это незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия.

Распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации также является нарушением неприкосновенности частной жизни. За это преступление суд может назначить одно из следующих наказаний:

1. Штраф в размере до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев.
2. Обязательные работы на срок до 360 часов.
3. Исправительные работы на срок до 1 года.
4. Принудительные работы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без него.
5. Арест на срок до 4 месяцев.
6. Лишение свободы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет.

Нарушение неприкосновенности частной жизни с использованием своего служебного положения наказывается строже. Возможны следующие варианты наказания:

1. Штраф в размере от 100 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от одного года до 2 лет.
2. Лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет.
3. Принудительные работы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без него.
4. Арест на срок до 6 месяцев.
5. Лишение свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет.

Информация о возможных наказаниях за неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, приведена в таблице ниже.

На этом наш цикл статей о проверках Роскомнадзора завершается. Теперь в ваших руках вся необходимая информация для подготовки к проверке. Убедитесь в наличии и правильности необходимых документов. Если что-то не так – срочно исправляйте! Поищите себя в списках на сайте территориального отделения Роскомнадзора и Прокуратуры и не забывайте проверять входящую корреспонденцию.

Источник: https://e-pepper.ru/news/proverki-roskomnadzora-chto-neobxodimo-znat-chast-4.html