Телефон для связи:  +7 (499) 755-57-02
Почта:   info@ipro-group.ru

Защита персональных данных и проверки Роскомнадзора. К чему готовиться?

Материалы
11 окт 2019

Защита персональных данных и проверки Роскомнадзора. К чему готовиться?

Интернет-магазин, услуги-онлайн, личный аккаунт – это лишь некоторые случаи, когда лицо используя онлайн-ресурсы становится оператором персональных данных и, соответственно, попадает под регулирование Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ и может обратить на себя внимание Роскомнадзора. На что обращает внимание регулятор? Сколько длится проверка Роскомнадзора? Как к ней подготовится?

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), а именно одно из его управлений - Управление по защите прав субъектов персональных данных, является уполномоченным органом на территории Российской Федерации.

Полномочия Роскомнадзора определены в Положении, утвержденном постановлением Правительства Российской Федерации от 16 марта 2009 года № 228, а также ФЗ «О персональных данных».

Роскомнадзор осуществляет контроль и надзор за соответствием обработки персональных данных требованиям ФЗ «О персональных данных», поэтому служба обладает широким набором функций и полномочий. Основный средством являются плановые и внеплановые проверки.

Плановые проверки в отношении операторов проводятся в соответствии с ежегодными планами по контролю, которые находятся в свободном доступе на официальном сайте Роскомнадзора.

Важно знать, когда в отношении Вас может быть проведена плановая проверка. Основанием для включения плановой проверки в отношении оператора в план по контролю является истечение 3 лет со дня:

а) государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя;

б) окончания последней плановой проверки оператора.

Таким образом, общая периодичность плановых проверок составляет не более 1 раза в 3 года. Однако из этого правила есть исключения.

Плановая проверка проводится не чаще одного раза в 2 года со дня окончания последней плановой проверки в следующих случаях:

а) оператор осуществляет обработку персональных данных в информационных системах персональных данных, имеющих статус государственных информационных систем;

б) оператор осуществляет сбор биометрических и специальных категорий персональных данных.

Напомним, что к специальным категориям персональных данных относятся данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

в) оператор осуществляет трансграничную передачу персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных.

Для того, чтобы узнать, обеспечивает ли иностранное государство адекватную защиту, необходимо свериться с Приказом Роскомнадзора от 15.03.2013 № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных» (в действующей редакции). Если страна, куда Вы передаете персональные данные, отсутствует в этом списке, Вы можете стать объектом проверки.

г) оператор осуществляет обработку персональных данных по поручению иностранного государственного органа, иностранного юридического лица, иностранного физического лица, которые не зарегистрированы в установленном порядке на территории Российской Федерации.

Еще одна разновидность проверок – это внеплановые проверки, которые проводятся на основании приказа Роскомнадзора в следующих случаях:

а) в случае неисполнения или частичного исполнения оператором предписания Роскомнадзора об устранении выявленного ранее нарушения;

б) по результатам рассмотрения обращений граждан, поступивших в Роскомнадзор и подтверждающих факт нарушения прав действиями (бездействием) оператора при обработке их персональных данных;

в) в соответствии с поручениями Президента или Правительства РФ;

г) на основании требования прокурора об осуществлении внеплановой проверки;

д) на основании решения руководителя Роскомнадзора по итогам рассмотрения докладной записки сотрудника о наличии нарушений требований, выявленных по результатам проведения мероприятий по контролю без взаимодействия с оператором.

Проведение внеплановых проверок по результатам рассмотрения обращений граждан, а также на основании решения руководителя в обязательном порядке согласовывается с органами прокуратуры.

К Вам пришли с проверкой? Наши рекомендации.

Перед началом проверки мы рекомендуем Вам проверить следующую информацию:

  • наличие приказа руководителя соответствующего территориального органа Роскомнадзора, который является основанием для начала проведения проверки
  • срок, в который было направлено уведомление о проведении плановой проверки (и было ли оно направлено вообще). Уведомление направляется не позднее чем за 3 рабочих дня до даты начала проведения проверки посредством направления копии приказа заказным почтовым отправлением с уведомлением о вручении, или посредством направления электронного документа, подписанного усиленной квалифицированной электронной подписью по адресу электронной почты лица
  • срок, в который было направлено уведомление о проведении ВНЕплановой проверки (и было ли оно направлено вообще). Оператор уведомляется не менее чем за 24 часа до начала ее проведения посредством направления копии приказа любым доступным способом
  • полномочия лиц на проведение проверки, которые должны быть указаны в приказе о ее проведении. Должностные лица обязаны предъявить Вам служебные удостоверения и копию приказа

Предметом проверки (то есть, что конкретно проверяет Роскомнадзор) является:

а) Ваша деятельность, как оператора по обработке персональных данных, осуществляемая с использованием и (или) без использования средств автоматизации, на предмет ее соответствия требованиям ФЗ «О персональных данных»;

б) документы и локальные акты, указанных в части 1 статьи 18.1 ФЗ «О персональных данных», и принятые Вами меры. К таким документам можно отнести, например, приказ о назначении лица, ответственного за организацию обработки персональных данных; политика в отношении обработки персональных данных и другие. Проверяя принятые меры, Роскомнадзор может изучить наличие установленных программ-антивирусов, доступность в помещения посторонних лиц и другие сведения.

в) информационные системы в части, касающейся обработки персональных данных субъектов персональных данных. В данном случае, может быть проверены надежность используемых технологий и/или алгоритмы построения информационных систем.

Какими полномочиями обладают должностные лица Роскомнадзора при проведении проверок?

Во время проведения проверки сотрудники регулятора вправе:

1) запрашивать и получать от Вас информацию, документы, локальные акты, касающиеся предмета проверки

2) посещать помещения, используемые при осуществлении деятельности по обработке персональных данных, и проводить их обследование (во время проведения выездной проверки). Например, они могут посетить Ваш офис, где располагаются компьютеры

3) получать доступ к информационным системам персональных данных в режиме просмотра и выборки информации, необходимой для оценки законности деятельности по обработке персональных данных, в том числе на предмет соответствия содержания, объема, способов обработки и сроков хранения обрабатываемых персональных данных целям их обработки (во время проведения выездной проверки). Это означает, что должностные лица Роскомнадзора вправе потребовать у Вас открыть соответствующие программы и, например, проверить имеющиеся у Вас базы персональных данных клиентов

4) запрашивать и получать от Вас и Ваших сотрудников устные и письменные пояснения по вопросам, относящимся к предмету проверки. Например, о том, каким образом обеспечивается безопасность компьютеров, содержащих базы персональных данных; когда в последний раз проводился инструктаж сотрудников

Должностные лица Роскомнадзора не могут запретить руководителю оператора или иному уполномоченному представителю присутствовать при проведении выездной проверки и давать разъяснения по вопросам, относящимся к предмету проверки. У Вас всегда есть право высказаться и задать вопросы представителям Роскомнадзора.

Не забывайте, что установлены строгие сроки проведения проверок. Срок плановой не может превышать 20 рабочих дней (может быть продлен однократно не более чем на 20 рабочих дней), а срок внеплановой не может превышать 10 рабочих дней (также может быть продлен однократно не более чем на 10 рабочих дней). При этом перечень оснований для продления срока проведения проверки носит исчерпывающий характер.

Итоги проведения проверки могут быть как положительными, так и отрицательными.

В случае, если Ваша деятельность не нарушает требования законодательства, должностные лица, проводившие проверку, составляют акт проверки об отсутствии в деятельности оператора нарушений требований.

Если же Роскомнадзор найдет какие-либо нарушения, должностные лица составляют акт проверки о выявленных в деятельности оператора нарушениях требований. В акте обязательно должны быть указаны статьи и (или) пункты нормативных правовых актов, которые были нарушены.

Акт проверки составляется в 2 (двух) экземплярах с приложением необходимых протоколов, справок, пояснений и иных документов, подтверждающие заключение, и подписывается должностными лицами, проводившими проверку. Если проводилась выездная проверка руководитель или иной уполномоченный представитель компании должны ознакомиться с результатами, оставив подпись на акте проверки.

В случае несогласия с результатами проверки, Вы можете отказаться от подписания акта, тем самым, не ознакомившись с результатами проверки (в таком случае, в акте будет сделана соответствующая запись). Однако мы рекомендуем ознакомиться с результатами, оставив подпись, после чего составить письменное возражение, направив его в Роскомнадзор, или обжаловать результаты проверки в досудебном и/или судебном порядке.

В случае выявления нарушений Роскомнадзор может принять следующие меры:

1) Потребовать уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных

2) Выдать предписание об устранении выявленных нарушений. В предписании содержится описание нарушений и определяется срок для их устранения (в каждом случае индивидуально, однако он не может превышать 6 (шесть) месяцев со дня выдачи предписания).

Вы обязаны исполнить предписание в установленный срок и представить в Роскомнадзор информацию о результатах с приложением подтверждающих документов. Например, если по результатам проверки Роскомнадзор выявил отсутствие у оператора лица, ответственного за организацию обработки персональных данных, компании-оператору следует представить в орган копию приказа о назначение такового с указанием его ФИО и контактных данных.

Помните, неисполнение или частичное исполнение предписания является основанием для проведения внеплановой проверки!

3) В случае если неисполнение предписания продолжит нарушать права и законные интересы субъекта персональных данных, Роскомнадзор направляет требование о приостановлении деятельности по обработке персональных данных до устранения нарушений, указанных в предписании.

4) В случае неисполнения оператором требования о приостановлении деятельности по обработке персональных данных, должностные лица Роскомнадзора вправе составить протокол об административном правонарушении в пределах полномочий, предоставленных  п. 58 ч. 2 ст. 28.3 КоАП РФ, а также привлечь к административной ответственности за ряд правонарушений за правонарушения, перечисленные в ст. 23.44 КоАП РФ.

Проверки Роскомнадзора – это не то, чего нужно бояться. Налаженная деятельность компании, наличие всех необходимых документов, соответствующих требованиям ФЗ «О персональных данных», а также помощь профессиональных специалистов в области защиты и обработки персональных данных помогут Вам пройти проверки и не допустить нарушений.

 

Автор: