Как пройти проверку Роскомнадзора?

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как пройти проверку Роскомнадзора?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

В соответствие с Положением о Роскомнадзоре (постановление Правительства №228 от 16.03.2009 года), Служба осуществляет контроль и надзор деятельности операторов персональных данных в части выполнения ними требований действующего законодательства.

Разновидности проверок

Роскомнадзор осуществляет следующие формы проверок:

• Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
• Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
• Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
• Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.

Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

Подготовка по требованиям 152-ФЗ и подготовка к проверке Роскомнадзора: отличия

Глобальная проблема состоят в том, что закон не устанавливает точный перечень организационно-распорядительной документации, которую требуется разработать для соответствия закону и тем более перечень документов, которые запрашиваются на проверке. Роскомнадзор, как и любой другой регулятор, имеет право запросить не только конкретные документы, но и сведения, которые должны быть оформлены в виде справок от организации (в бумажном виде). Поэтому пакет документов для соответствия требованиям закона (около 40 документов) и пакет документов для прохождения проверки Роскомнадзора (плюс еще около 20 документов) отличаются, т.е. пакет для прохождения проверки более полный (итого около 60 документов).

Также нужно учесть, что в зависимости от территориального органа состав запрашиваемых документов может разниться.

Даже в зависимости от проверяющих требования отличаются («человеческий фактор»). По итогу, не имея опыта прохождения проверки Роскомнадзора, без обращения к компетентной организации – пройти проверку практически невозможно.

Предмет проверки Роскомнадзора

Сферы деятельности юридических лиц и ИП, надзор в которых осуществляет Роскомнадзор, перечислены в п. 5 положения, утвержденного постановлением Правительства РФ «О Федеральной…» от 16.03.2009 № 228. В соответствии с ним Роскомнадзор проводит проверки за соблюдением законодательства в различных сферах, в частности, таких как:

• деятельность средств массовой информации, телеканалов, периодических печатных, электронных и других изданий;
• информатизация и защита информации;
• организация и работа радио и телевещания;
• связь и массовые коммуникации;
• организация и деятельность почтовых операторов;
• обработка и защита персональных данных граждан.

Проверка Роскомнадзора – что проверяют, как подготовиться, виды проверок

Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки.
Результат проверки можно обжаловать. Сделать это можно как письменно, так и устно (например, в ходе личного приема или по телефону – подробности можно найти на сайте территориального органа Роскомнадзора). Рассматривается жалоба в течение месяца.

Выездная проверка может длиться 20 дней, и еще на 20 суток она может быть продлена. Итог проверки – акт, который, при наличии нарушений, включает в себя предписания по их устранению. Также устанавливаются сроки для исправления ошибок. Результат проверки всегда можно обжаловать.

Генпрокуратура собирается тщательнее следить за соблюдением трудового законодательства в российских организациях. Из проекта приказа следует, что сотрудники прокуратуры теперь будут проверять в порядке Уголовно-процессуального кодекса РФ все поступившие сообщения о:

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

• проверьте условия хранения документов с персональными данными (наличие сейфов, изолированных помещений с ограниченным доступом);
• проконтролируйте соблюдение установленных требований сотрудниками, которые, согласно должностным инструкциям, работают с персональными данными;
• с помощью ответственного сотрудника ИТ-службы проанализируйте безопасность хранения персональных данных в электронных базах, а также корректность их сбора на сайте либо через электронную почту.

К наиболее часто встречающимся недочетам, которые обнаруживаются при проверке оператора, можно отнести:

— отсутствие любых средств защиты информации;

— недостаточный уровень знаний специалистов, отвечающих за информационную безопасность;

— отсутствие сертификатов на используемые средства защиты или завершение их срока действия сертификат;

— некорректное использование средств защиты информации, неправильную их настройку или не использование, несмотря на их наличие;

— отсутствие аттестации у государственной информационной системы;

— некорректно составленную модель угроз и нарушителей;

— отсутствие нормативной документации и формуляров;

— игнорирование факта проведения запланированных мероприятий по защите информации;

— низкий уровень физической защиты технических средств.

Административным регламентом №312 определена последовательность действий (административных процедур) Роскомнадзора и его территориальных органов.

В частности, предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных являются (п. 5 Административного регламента №312):

• документы, характер информации в которых предполагает или допускает включение в них персональных данных (напр., личные дела работников)
• информационные системы персональных данных (напр., правила ведения электронного документооборота в программе 1С)
• деятельность по обработке персональных данных (напр., локальный нормативный акт о защите ПДР, согласие на обработку персональных данных и др.)

Общий перечень документов, подлежащих проверке, законодательно не определен.

Приведем примерный список документов:

• Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав и др.)
• Список ПД, обрабатываемых работодателем
• Список работников, имеющих доступ к ПД, приказ об их допуске
• Инструкции работников, которые в ходе своей трудовой деятельности обрабатывают ПД и обеспечивают информационную защиту
• Положение об ответственности работников за разглашение ПД и нарушение запрета доступа к ним
• Локальный нормативный акт о защите ПД
• Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности)
• Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи работников по требованиям информационной безопасности)
• Соглашения о неразглашении ПД с подписями работников
• Бланки согласия работников на обработку их ПД
• Журналы инструктажей работников по вопросам информационной безопасности и других внутренних контрольных мероприятий режима защиты
• Журналы учета всех носителей информации, а также средств защиты информационных систем

Роскомнадзор: что проверяет и на что обращает внимание

Мероприятия по охране труда: план на предприятии

В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.

При плановой ревизии важно:

• какие именно данные обрабатывает компания;
• кто отвечает за обработку;
• где можно ознакомиться с политикой компании (в том числе на сайте);
• кому передаются данные;
• как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
• как хранятся документы, и как контролируется доступ в этих помещениях;
• насколько всё перечисленное соответствует заявленному в документах.

Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.

Подготовка по требованиям 152-ФЗ и подготовка к проверке Роскомнадзора: отличия

Глобальная проблема состоят в том, что закон не устанавливает точный перечень организационно-распорядительной документации, которую требуется разработать для соответствия закону и тем более перечень документов, которые запрашиваются на проверке. Роскомнадзор, как и любой другой регулятор, имеет право запросить не только конкретные документы, но и сведения, которые должны быть оформлены в виде справок от организации (в бумажном виде). Поэтому пакет документов для соответствия требованиям закона (около 40 документов) и пакет документов для прохождения проверки Роскомнадзора (плюс еще около 20 документов) отличаются, т.е. пакет для прохождения проверки более полный (итого около 60 документов).

Также нужно учесть, что в зависимости от территориального органа состав запрашиваемых документов может разниться.

Даже в зависимости от проверяющих требования отличаются («человеческий фактор»). По итогу, не имея опыта прохождения проверки Роскомнадзора, без обращения к компетентной организации – пройти проверку практически невозможно.

Что проверяет Роскомнадзор

Далеко не все знают, за какую область отвечает Роскомнадзор, или иначе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Роскомнадзор контролирует работу операторов любых персональных данных (сотрудников или клиентов).

Подконтрольными Роскомнадзору субъектами выступают все предприятия, большинство ИП и даже некоторые граждане, которые вне зависимости от объема, обрабатывают и собирают информацию о клиентах, сотрудниках и других гражданах.

У вас есть наемные работники? Если ответ положительный, то будьте уверены, вы уже точно попадаете под проверки Роскомнадзора по персональным данным.

Трудовой Кодекс РФ дает нам такое толкование термина: персональные данные — сведения, которые необходимо передать работодателю для осуществления служебных обязанностей. Например, это паспортные данные, номер телефона, адрес и даже факты биографии (образование, опыт работы, семейное положение).

Роскомнадзор проверяет:

1. Документы, включающие в себя персональные данные. Если проверка выездная – еще и условия их хранения, организацию места хранения. Собственно хранение данных на предприятии может быть физическим или электронным, Роскомнадзор проверяет оба метода;
2. Обрабатывающие их системы (компьютеры и программы);
3. Внутренние нормативные акты, касающиеся обработки и хранения персональных данных, и их практическое соблюдение;
4. Сайт компании в интернете. Например, предприятие могут оштрафовать, если на его сайте производится сбор персональных данных (для регистрации нужно вводить свое имя, номер телефона), но не размещены подробности дальнейшей работы компании с персональными данными.

Единого перечня документов, которые подвергаются проверке, не существует, но приблизительный список такой:

• Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав общества и прочие);
• Копия уведомления о намерении осуществлять работу с персональными данными (можно заменить выпиской из реестра операторов);
• Список персональных данных, собираемых и охраняемых вашей компанией;
• Список сотрудников, имеющих доступ к персональным данным, вместе с приказом об их допуске;
• Инструкции сотрудников, которые в ходе своей трудовой деятельности обрабатывают персональные данные и обеспечивают информационную защиту;
• Положение об ответственности работников за разглашение персональных данных и нарушение запрета доступа к ним;
• Положения о коммерческой тайне, о защите персональных данных, хранящихся на предприятии;
• Положения об особенностях обработки персональных данных, в том числе их обезличивания;
• Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности);
• Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи сотрудников по требованиям информационной безопасности);
• Соглашения о неразглашении персональных данных, подписанные всеми сотрудниками;
• Бланки согласия граждан на обработку их персональных данных;
• Журналы инструктажей сотрудников по вопросам информационной безопасности и прочих внутренних контрольных мероприятий режима защиты;
• Журналы учета всех носителей информации, а также средств защиты информационных систем.

• Сведения о наличии лицензий на осуществление работ по защите информации.
• Приказ о постоянно действующей технической комиссии по защите информации.
• Сведения о сотрудниках подразделения (штатном специалисте) по защите информации: приказ о назначении, штатная и фактическая численность, стаж в области защиты информации, копии дипломов об обучении, сведения о повышении квалификации, сведения о согласовании кандидатуры руководителя с Управлением ФСТЭК России по региону.
• Сведения об аттестованных объектах информатизации (аттестат) и планируемых к аттестации.
• Сведения о проведении инструментального контроля на объектах информатизации.
• Сведения о наличии аппаратуры контроля эффективности мер по защите информации.

Как грамотно и успешно подготовиться к проверке Роскомнадзора

Роскомнадзор является федеральной службой, в полномочия которой входит контроль над организациями в вопросах массовых коммуникаций, связи и информационных технологий. Надзор осуществляется путем проведения проверок по организационным моментам — как плановых, так и внеплановых. Основанием для такой деятельности является Федеральный закон N 294-ФЗ.

По отношению к каждой организации, деятельность которой лежит в сфере обработки индивидуальных данных, проводится обязательная проверка Роскомнадзора.

Такое предприятие попадает в поле зрения этой службы не чаще одного раза в три года. Поэтому каждый руководитель, зная дату последнего визита проверяющих, может понять, как скоро им предстоит опять встретится.

В случае проверки Роскомнадзором этот перечень необходимо дополнить:

• Договоры, одной из сторон которых является субъект персональных данных. Например, трудовой договор: желательно, чтобы в нем было согласие на обработку персональных данных.
• Письменное согласие субъектов персональных данных, в том числе работников, на обработку их персональных данных (резюме, анкета, трудовой договор).
• Письменное согласие на обработку биометрических и (или) специальных персональных данных (если они обрабатываются).
• Наличие письменного согласия на трансграничную передачу данных (если передаются).
• Согласие субъекта на передачу его данных третьему лицу (если оператор поручает обработку третьему лицу).
• Документы, устанавливающие порядок уничтожения и обезличивания персональных данных. Например, «Инструкция по делопроизводству», «Инструкция по конфиденциальному делопроизводству».
• Типовые формы документов, характер которых предполагает включение в них персональных данных (бланки согласий, бланки трудовых договоров, анкеты сотрудников, клиентов и т.п.).
• Документы, устанавливающие места хранения материальных носителей персональных данных и порядок их хранения («Инструкция по конфиденциальному делопроизводству» или «Инструкция по режиму безопасности в организации»).
• Локальные документы, регламентирующие порядок и условия обработки персональных данных работников, кандидатов на замещение вакантных должностей, ведение кадрового резерва (при наличии), а также документы, подтверждающие факт ознакомления работника с локальными документами, регламентирующими порядок и условия обработки его персональных данных. Например, «Положение о защите персональных данных сотрудников с листами ознакомления».

Советы предпринимателям

Во время проверки:

1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
3. Не паникуйте;
4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Наблюдение за оператором

Проводится тайно. Не предупреждая оператора, инспекторы смотрят, какую информацию компания/человек публикует в интернете и СМИ, какие документы предоставляет в Роскомнадзор. Например, сотрудники ведомства могут изучить пользовательское соглашение или форму подписки на вашем сайте.

Работники ведомства имеют право проводить наблюдение только по заданию.

Основанием могут стать следующие события:

• Президент, правительство или руководитель федерального РКН поручили наблюдать за оператором.
• Граждане (пользователи, сотрудники) обратились с жалобой в РКН.
• В СМИ появилась информация, что оператор нарушает закон о защите персональных данных.

1. Мораторий на проверки малого и среднего бизнеса продлили на 2023 год. Но мера не распространяется на предприятия из групп высокого и чрезвычайно высокого риска.
2. Бизнес освободили от плановых контрольных мероприятий. Внеплановые проверки будут проводить по жалобам клиентов или сотрудников.
3. Мораторий не распространяется на меры постоянного государственного контроля.
4. Налоговая служба продолжит камеральный и выездной контроль. До 03.03.2025 г. от проверок освободили только ИТ-компании.
5. Ведомства продолжат проводить профилактические визиты, по результатам которых бизнес не штрафуют за нарушения. Однако, оставляют предписания и обязывают устранить недочёты.

Что именно будут проверять

Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

Роскомнадзор осуществляет контроль над следующими направлениями:

• Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
• Системы, осуществляющие обработку данных (ПК и программы).
• Наличие локальных нормативных актов.
• Исполнение положений этих актов.
• Сайт организации.

Похожие записи:

• Имеет ли право охранник досматривать сумки?
• Где дают квартиры военнослужащим в Москве 2023 году
• Документы для возврата 20 процентов за детский сад в 2023 году