Инспекционная проверка по персональным данным: что требует Роскомнадзор?

Светлышева Ольга Юрьевна,
преподаватель Центра по направлению
Управление персоналом и кадровому делу

В статье читайте:

1. Как проходит проверка Роскомнадзора
2. Что требует проверяющий
3. Как работодателю подготовиться к проверке Роскомнадзора
4. Какая ответственность за нарушение обработки персональных данных работников введена с 01.07.2017
5. Где получить дополнительную информацию о проведении проверок Роскомнадзора

1. Как проходит проверка Роскомнадзора

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) осуществляет функции по контролю и надзору за соответствием обработки персональных данных (далее – ПД) требованиям законодательства РФ.

Процедура принятия решения о проведении проверок представлена в Блок-схеме 1:

Процедура проверки зависит от ее вида и формы.

Согласно Федеральному закону N 294-ФЗ от 26.12.2008 "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (далее – Закон 294-ФЗ) проверки бывают плановые и внеплановые.

И те, и другие могут проходить в форме выездной и документарной проверки.

Особенности проведения разных видов и форм проверок приведены в таблице 1:

В Административном регламенте исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки ПД требованиям законодательства РФ в области персональных данных, утв. Приказом от 14.11.2011 № 312 (далее – Административный регламент №312) приведен перечень нормативных правовых актов, регулирующих процедуру проверки.

Кроме того, в нем перечислены права и обязанности должностных лиц Роскомнадзора при осуществлении проверок (пп. 6-7 Административного регламента №312) и права и обязанности работодателей, в отношении которых проводится проверка (пп. 8-9 Административного регламента №312).

Процедура проведения проверок представлена в Блок-схеме 2:

Сроки проведения проверок приведены в таблице 2 (пп. 20-21 Административного регламента №312):

При необходимости продления срока проверки проводящие проверку должностные лица не позднее чем за два дня до даты окончания проверки готовят докладную записку с изложением причин продления срока и направляют ее руководителю Роскомнадзора или руководителю территориального органа, принявшему решение о проведении проверки.

Варианты завершения проверки:

• составление и вручение работодателю акта проверки
• выдача работодателю предписаний об устранении выявленных нарушений требований законодательства РФ в области персональных данных
• составление протоколов об административных правонарушениях в отношении работодателя
• подготовка и направление материалов проверки в органы прокуратуры, другие правоохранительные органы для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам преступлений, связанных с нарушением прав персональных данных работников

Процедуры оформления результатов и принятия мер по результатам проверок представлены в Блок-схеме 3 (п. 10 Административного регламента №312):

2. Что требует проверяющий

Административным регламентом №312 определена последовательность действий (административных процедур) Роскомнадзора и его территориальных органов.

В частности, предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных являются (п. 5 Административного регламента №312):

• документы, характер информации в которых предполагает или допускает включение в них персональных данных (напр., личные дела работников)
• информационные системы персональных данных (напр., правила ведения электронного документооборота в программе 1С)
• деятельность по обработке персональных данных (напр., локальный нормативный акт о защите ПДР, согласие на обработку персональных данных и др.)

Общий перечень документов, подлежащих проверке, законодательно не определен.

Приведем примерный список документов:

• Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав и др.)
• Список ПД, обрабатываемых работодателем
• Список работников, имеющих доступ к ПД, приказ об их допуске
• Инструкции работников, которые в ходе своей трудовой деятельности обрабатывают ПД и обеспечивают информационную защиту
• Положение об ответственности работников за разглашение ПД и нарушение запрета доступа к ним
• Локальный нормативный акт о защите ПД
• Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности)
• Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи работников по требованиям информационной безопасности)
• Соглашения о неразглашении ПД с подписями работников
• Бланки согласия работников на обработку их ПД
• Журналы инструктажей работников по вопросам информационной безопасности и других внутренних контрольных мероприятий режима защиты
• Журналы учета всех носителей информации, а также средств защиты информационных систем

Конкретный перечень документов должен быть приведен в приказе руководителя.

3. Как работодателю подготовиться к проверке Роскомнадзора

Несколько практических рекомендаций по подготовке к проверке Роскомнадзора:

1. Назначить работника, ответственного за обработку ПД
2. Разработать и утвердить локальный нормативный акт о защите ПД
3. Ознакомьте всех работников с документами по работе с ПД.
4. Ежегодно проверять график проведения плановых проверок на официальном сайте Роскомнадзора
5. Привести в порядок все документы, регламентирующие работу с ПД, обращая внимание на условия информации и хранения документов (напр., материально-техническое оснащение помещений: замки на дверях, наличие сейфов для документов и пр.)
6. Постоянно отслеживать изменения в законодательстве РФ по ПД
7. Регулярно проводить внутренний аудит документов, содержащих ПД
8. Установить алгоритм поведения с проверяющими (они должны получать информацию у представителя ЮЛ или ИП)

Для разработки документа, определяющего политику оператора в отношении обработки ПД советуем воспользоваться рекомендациями по его составлению, которые размещены на официальном сайте Роскомнадзора: https://rkn.gov.ru/personal-data/p908/

В частности, в Политику по защите ПД рекомендуется включить следующие структурные компоненты:

1. Общие положения
2. Цели сбора персональных данных
3. Правовые основания обработки персональных данных
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
5. Порядок и условия обработки персональных данных
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Также приводим пример формы согласия на обработку ПД:

Поведение работодателя (оператора ПД) во время проверки:

1. Ознакомиться с документами, относящимися к проверке, с положениями и регламентом
2. При необходимости пригласить юриста, что поможет не упустить из виду важные нюансы в переговорах и оформлении документов
3. Тщательно проверять документы, прежде чем передать их инспектору (по возможности со всех документов снять копии)
4. Инспекторы имеют права изымать только документы, имеющие отношение к предмету проверки
5. Перед передачей инспектору документов внимательно проверить их (оператору ПД дается время для обработки запроса)
6. Помнить, что оператор ПД имеет право обжаловать результаты проверки в суд

4. Какая ответственность за нарушение обработки персональных данных работников введена с 01.07.2017

С 01.07.2017 вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

Данный закон установил семь новых составов административных правонарушений при обработке ПД, затрагивающих основной круг распространенных правонарушений в области ПД.

Полная информация об ответственности за нарушение правил обработки ПД приведена в таблице 3:

5. Где получить дополнительную информацию о проведении проверок Роскомнадзора

Информация о порядке проведения проверок предоставляется (п. 11 Административного регламента №312):

• посредством размещения на официальном сайте Роскомнадзора и его территориальных органов в информационно-телекоммуникационной сети «Интернет» (п. 15 Административного регламента №312)
• непосредственно в центральном аппарате Службы и ее территориальных органах.

Место нахождения центрального аппарата Роскомнадзора: 109074, Москва, Китайгородский проезд, д. 7, стр. 2.

Почтовый адрес для направления обращений: 109074, Москва, Китайгородский проезд, д. 7, стр. 2.

Официальный сайт: https://rkn.gov.ru/ и www.роскомнадзор.рф

График работы Роскомнадзора и его территориальных органов: понедельник - четверг 9.00 - 18.00; пятница 9.00 - 16.45 (в предпраздничные дни продолжительность времени работы сокращается на 1 час).

Часы приема корреспонденции в экспедиции Роскомнадзора: понедельник - пятница 10.00 - 13.00, 14.00 - 16.00.

Телефон Роскомнадзора для получения справок по вопросам проведения проверок за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных: (495) 987-68-00, электронный адрес: rsoc_i@rsoc.ru.