Проверки операторов персональных данных роскомнадзором с 23.02.2019 проходят по новым правилам

• Сертификация ФЗ-152
• В 2020 году штрафы за нарушение ФЗ-152 «О персональных данных» значительно вырастут, поэтому тем, кто работает с персональными данными в РФ важно убедиться, что все требования закона «О персональных данных» соблюдены.
• Кем проверяется выполнение требований закона?
• Выполнение требований закона «О персональных данных» контролируют:

• Главный контролирующий орган, Роскомнадзор, который проверяет правильность обработки персональных данных и документы по персональным данным.
• ФСТЭК России, проверяющий выполнение требований по технической защите.
• ФСБ России, проверяющий выполнение требований по применению криптографии при обработке персональных данных.
• Генеральная прокуратура РФ.

Наиболее активным из них является Роскомнадзор, который проводит более 10000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ не более сотни проверок гос. сектора.

С 1 сентября 2015 года вступил в силу ФЗ от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

В связи с этим Роскомнадзор начал в жестком порядке требовать уведомления об обработке персональных данных, создав специальный информационный ресурс для нарушителей — АИС «Реестр нарушителей прав субъектов персональных данных».

В феврале 2019 года Правительство РФ вынесло постановление от 13.02.2019 № 146, которым утвердило новые правила проверок Роскомнадзора. Такие проверки ведомство будет проводить в организациях и у индивидуальных предпринимателей в отношении соблюдения требований законодательства о персональных данных.

1. Новые правила вступили в силу с 23 февраля 2019 года и уже действуют.
2. По итогам проверок Роскомнадзор и другие проверяющие органы, могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.
3. Основные риски:

• Наложение на организацию штрафа до 300.000 рублей;
• Наложение на должностных лиц штрафа до 20.000 рублей;
• Разрыв трудового договора с должностным лицом;
• Запрет руководителю занимать руководящие должности на срок до 3-х лет;
• Блокировка сайта организации по жалобе физического лица;
• Внесение компании в реестр нарушителей прав субъектов персональных данных;
• И многие другие…

С начала 2015 года, по данным Роскомнадзора, было взыскано штрафов в общей сложности на 174.000.000 рублей с организаций и должностных лиц.С 01 сентября 2015 года Роскомнадзор имеет право без проверки на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».

В РФ подтвердить соответствие требованиям ФЗ-152 «О персональных данных» или пройти добровольную сертификацию получив сертификат соответствия, обязаны все предприниматели, юридические лица и бюджетные организации, обрабатывающие персональные данные физических лиц — операторы персональных данных.

В первую очередь закон касается компаний, работающих в следующих сферах:

• Финансы и кредитование;
• Медицина и фармакология;
• Телекоммуникации;
• Образование;
• Оффлайн и онлайн ритейл;
• Гостиничное дело;
• Реклама и digital;
• Бюджетные организации и др.

Чтобы избежать внеплановых проверок, а также соответствовать требованиям законодательства в области обработки и защиты персональных данных Ассоциация Специалистов по Безопасности (АСБ) предлагает Вам пройти процедуру подтверждения соответствия (сертификации) по требованиям ФЗ-152 «О персональных данных» (ФЗ-152).

Подтверждение соответствия требованиям ФЗ-152 проводится в системе добровольной сертификации «ВРК» (№ РОСС RU.З1912.

04ВРК0), с учетом с требований международных стандартов ISO/IEC 17065, ISO/IEC 17021, ISO/IEC 17024, ISO 19011.

Настоящий сертификат обязывает организацию поддерживать состояние системы менеджмента защиты персональных данных в соответствии с ФЗ-152, и будет подтверждаться при прохождении ежегодного инспекционного контроля.

Сроки оказания услуги: до 5 рабочих дней.

Стоимость получения сертификата:

• Для организаций от 5 до 100 человек: от 55 000 р. НДС включен.
• Для организаций от 110 человек и выше: от 170 000 р. НДС включен.

В стоимость сертификации ФЗ-152 входит:

• Аудит на соответствие выполнения основных требований ФЗ-152: — Уведомление Роскомнадзора; — Наличие организационно-распорядительной документации; — Процессы работы с персональными данными; — Организационная и техническая защита персональных данных в информационных системах; — Хранение баз с персональными данными на территории РФ. — Проверка наличия в Реестре операторов персональных данных Роскомнадзора; — Проверка наличия сведений в Реестре нарушителей прав субъектов персональных данных Роскомнадзора;
• Сертификат соответствия ФЗ-152 на русском и при необходимости на английском языках. Срок действия — 3 года, с ежегодным проведением инспекционных контролей. Стоимость инспекционных контролей определяется заранее перед процедурой прохождения сертификации и в обязательном порядке прописывается в договоре на сертификацию ФЗ-152.
• Сертификаты компетентности внутренних аудиторов на право проведения внутренних аудитов ФЗ-152 для двух сотрудников организации, назначенных в качестве ответственных по защите персональных данных.
• Внесение в официальный реестр.

Чтобы пройти сертификацию ФЗ-152 необходимо?

• Заполнить заявку на сертификацию ФЗ-152
• Заключить договор на сертификацию и произвести оплату;
• Пройти процедуру аудита на соответствие требованиям нормативных документов по защите персональных данных;
• Получить от уполномоченного органа сертификат соответствия ФЗ-152.

Дополнительно к «Сертификату соответствия ФЗ-152», на основе анализа и проведенной оценки рисков информационной безопасности (кибер-рисков) предоставляется возможность получения Полиса страхования кибер-рисков от аккредитованных международных страховых компаний (страхование с покрытием убытков от утечки персональных данных, расследований и санкций контролирующих органов и др.).

С подробной информацией о процедуре и стоимости страхования кибер-рисков Вы можете ознакомиться в разделе «Страхование кибер-рисков»

Какие преимущества дает «Сертификат соответствия ФЗ-152»:

• Сокращает риски внезапных и плановых проверок контролирующими органами;
• Облегчает доступ в работе с крупными Российскими и иностранными компаниями;
• Позволяет избежать утечки персональных данных и использование их третьими лицами;
• Доверие клиентов. Позволяет продемонстрировать клиентам свою приверженность к безопасности обработки их персональных данных;
• Обеспечение необходимого уровня экономической безопасности;
• Юридически защищённый документооборот;
• Повышение результативности и управляемости деятельности;
• Оптимизация бизнес-процессов;
• Oсуществление прозрачности деятельности компании;
• Повышение стоимости компании;
• Выход на новые рынки;
• Улучшение имиджа компании;
• И многие другие…

Более подробную информацию о подтверждении соответствия (сертификации) по требованиям ФЗ-152 «О персональных данных», а также ответы на дополнительные вопросы Вы можете получить у наших специалистов, позвонив по телефонам +7 (812) 932-88-26, +7 (812) 703-72-25 или отправить запрос на электронную почту: info@irqcert.ru , info@spbissa.ru

Проверка Роскомнадзора на 2019 год — как подготовиться, что проверяют

Здравствуйте! Сегодня мы обсудим еще один вид проверок, затрагивающий каждого работодателя, а именно инспекции Роскомнадзора. О том, как они проходят, и как к ним подготовиться, читайте в нашей статье.

Виды проверок

Процедура проверки во многом зависит от ее вида. Основные типы проверок:

1. Плановые. Их график составляется заранее, еще в конце предыдущего года, и публикуется на сайте. Кроме того, проверяемого предупредят письмом или лично как минимум за три дня до начала инспекции.
2. Внеплановые. Они инициируются после поступления жалоб от недовольных клиентов или даже от доноса конкурента. В зависимости от серьезности предполагаемого нарушения о проверке могут предупредить за сутки, а могут и не предупредить вовсе.
3. Документарные. Проверяется пакет документов, который по запросу предоставляется в контролирующий орган.
4. Выездные. Осматривается территория предприятия.

Что проверяет Роскомнадзор

Далеко не все знают, за какую область отвечает Роскомнадзор, или иначе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Роскомнадзор контролирует работу операторов любых персональных данных (сотрудников или клиентов).

Подконтрольными Роскомнадзору субъектами выступают все предприятия, большинство ИП и даже некоторые граждане, которые вне зависимости от объема, обрабатывают и собирают информацию о клиентах, сотрудниках и других гражданах.

У вас есть наемные работники? Если ответ положительный, то будьте уверены, вы уже точно попадаете под проверки Роскомнадзора по персональным данным.

Трудовой Кодекс РФ дает нам такое толкование термина: персональные данные — сведения, которые необходимо передать работодателю для осуществления служебных обязанностей. Например, это паспортные данные, номер телефона, адрес и даже факты биографии (образование, опыт работы, семейное положение).

Роскомнадзор проверяет:

1. Документы, включающие в себя персональные данные. Если проверка выездная – еще и условия их хранения, организацию места хранения. Собственно хранение данных на предприятии может быть физическим или электронным, Роскомнадзор проверяет оба метода;
2. Обрабатывающие их системы (компьютеры и программы);
3. Внутренние нормативные акты, касающиеся обработки и хранения персональных данных, и их практическое соблюдение;
4. Сайт компании в интернете. Например, предприятие могут оштрафовать, если на его сайте производится сбор персональных данных (для регистрации нужно вводить свое имя, номер телефона), но не размещены подробности дальнейшей работы компании с персональными данными.

Единого перечня документов, которые подвергаются проверке, не существует, но приблизительный список такой:

• Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав общества и прочие);
• Копия уведомления о намерении осуществлять работу с персональными данными (можно заменить выпиской из реестра операторов);
• Список персональных данных, собираемых и охраняемых вашей компанией;
• Список сотрудников, имеющих доступ к персональным данным, вместе с приказом об их допуске;
• Инструкции сотрудников, которые в ходе своей трудовой деятельности обрабатывают персональные данные и обеспечивают информационную защиту;
• Положение об ответственности работников за разглашение персональных данных и нарушение запрета доступа к ним;
• Положения о коммерческой тайне, о защите персональных данных, хранящихся на предприятии;
• Положения об особенностях обработки персональных данных, в том числе их обезличивания;
• Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности);
• Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи сотрудников по требованиям информационной безопасности);
• Соглашения о неразглашении персональных данных, подписанные всеми сотрудниками;
• Бланки согласия граждан на обработку их персональных данных;
• Журналы инструктажей сотрудников по вопросам информационной безопасности и прочих внутренних контрольных мероприятий режима защиты;
• Журналы учета всех носителей информации, а также средств защиты информационных систем.

Как подготовиться к проверке Роскомнадзора

Перед любой проверкой важна правильная подготовка. Давайте рассмотрим, какие мероприятия помогут не ударить в грязь лицом перед инспектором.

Проверка Роскомнадзора одна из самых сложных в плане подготовки. Данные – вещь нематериальная, для обеспечения безопасности их недостаточно положить в сейф под ключ. Нужно привести в порядок огромный пакет документов, и не удивительно, что сделать это самостоятельно, не упустив ничего из виду, задача не из легких.

Крупные операторы обычно не скупятся на содержание в штате фирмы специально обученного сотрудника, который следил бы за всеми бумагами, информационными системами и руководил подготовкой к проверке.

Для предприятий поменьше есть другой, но тоже недешевый вариант – нанять стороннего эксперта. Он поможет единожды систематизировать хранение и обработку персональных данных на фирме.

Если эти два варианта предпринимателю не по карману, придется все делать собственными силами.

Основной план подготовительных мероприятий выглядит так:

1. Убедитесь, что ранее вы подавали в Роскомнадзор уведомление об обработке персональных данных. Подавать его нужно прежде, чем начинать деятельность, и опоздание уже становится поводом для штрафа. На практике Роскомнадзору почти всегда удается доказать, что каждый работодатель является оператором персональных данных. Какие бы факты он ни приводил в доказательство обратного.
2. Проверьте, соответствует ли ваша текущая деятельность указанному в едином реестре. Уточните содержание заявления, которое вы ранее подавали в Роскомнадзор и при необходимости внесите в него изменения. Необходимую для этого форму можно скачать на сайте Роскомнадзора. Именно несоответствие этих данных и фактической деятельности выступает самой распространенной причиной штрафа от Роскомнадзора. Например, даже назначение другого ответственного за обработку персональных данных сотрудника уже становится основанием для штрафа.
3. Назначьте ответственного за обработку персональных данных, вместе с ним приступайте к подготовке всех документов, сопровождающих путь персональных данных от сбора, до хранения и уничтожения.
4. Обязательно оформите «Политику компании в отношении обработки персональных данных». Вы можете дать документу другое название, но суть в том, что он станет основополагающим сводом правил и инструкций в интересующем Роскомнадзор вопросе.
5. Подготовьте к проверке всех сотрудников. Ознакомьте их с документами по работе с персональными данными. Установите четкие правила поведения с инспекторами, если ожидается выездная проверка. Очень часто у проверяющих возникают вопросы к простым работникам. Отработайте с ними тактику «глухой защиты» – ничего не говорить, ничего не подписывать без присутствия руководителя. Вы действительно имеете на это право.
6. Проверьте, как и где вы храните бумаги, особенно ксерокопии паспортов, кто имеет к ним доступ.
7. Проверьте материально-техническое оснащение офиса: замки на важных помещениях, наличие сейфов для документов.
8. Воспользуйтесь специальными онлайн-сервисами для подготовки документов. Они бывают совсем бесплатными или коммерческими, но в любом случае дешевле офлайн специалиста. Особенно если вы практически не знакомы с законодательством о персональных данных, сервисы дадут исключительно актуальные подсказки по подготовке.

Как проходит проверка Роскомнадзора

Начинается проверка с уведомления проверяемого. В нем указываются сроки и реквизиты инициирующего приказа. Прилагаются, кроме того, копия самого приказа, план контрольных мероприятий.

Сначала проверяют документы. На предприятие отправляется запрос, на который необходимо ответить в течение 10 дней. Предприниматель предоставляет копии документов, заверенные подписью и печатью. Свидетельство нотариуса не требуется. Если в документах содержится вся необходимая для разъяснения ситуации информация, то до выездной инспекции дело не дойдет.

Но если в бумагах будут обнаружены ошибки или у инспектора останутся вопросы, то тогда он лично навестит предпринимателя. Посетителей должно быть минимум двое, они обязаны предъявить удостоверения и копии приказа о проведении проверки.

Длится выездная проверка 20 рабочих дней, и еще на 20 дней она может быть продлена, если требуется провести дополнительные исследования.

Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки.
Результат проверки можно обжаловать.

Сделать это можно как письменно, так и устно (например, в ходе личного приема или по телефону – подробности можно найти на сайте территориального органа Роскомнадзора).

Рассматривается жалоба в течение месяца.

Советы предпринимателям

Во время проверки:

1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
3. Не паникуйте;
4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Как Роскомнадзор будет проверять операторов персональных данных

Роскомнадзор начнёт контролировать работу операторов персональных данных и принимать меры против нарушителей законодательства об охране личных сведений россиян. Виды и правила проведения проверок определены в постановлении Правительства, которое вступает в силу 23 февраля.

Под надзором федеральной службы Минкомсвязи будут юридические лица и индивидуальные предприниматели, которые являются операторами персональных данных.

Роскомнадзор может проводить плановые и внеплановые проверки, а также документарные и выездные. В компетенции таких проверок — выполнение операторов всех требований закона «О персональных данных», кроме мер по обеспечению безопасности личных данных россиян при обработке.

Это значит, что чиновники будут проверять соблюдение принципов и условий обработки данных (в том числе конфиденциальность), соблюдение оператором прав граждан, чьи данные обрабатываются, а также своих обязанностей при сборе данных, обращении граждан, выявлении нарушений и прочего.

1. Плановые проверки

По общему правилу, проводятся раз в три года.

Исключение — операторы, которые обрабатывают биометрические данные или специальные категории данных, либо работают с государственными информационными системами (ГИС). Таких операторов Роскомнадзор будет проверять раз в два года.

Та же периодичность предусмотрена для проверки операторов, которые собирают персональные данные россиян по поручению иностранного субъекта (госоргана, юрлица или физлица), не зарегистрированного в России, либо передают данные на территорию иностранного государства, не обеспечивающего «адекватную защиту прав субъектов персональных данных».

2. Внеплановые проверки

Проводятся в случае, если оператор не исполнил предписание об устранении выявленных нарушений. Также среди оснований для внеплановой проверки — подтверждённые жалобы граждан на нарушение их прав как субъектов персональных данных (право на доступ к своим данным, обработка данных для продвижения товаров только при согласии гражданина и так далее).

3. Документарные проверки

Проводятся только в рамках плановых контрольно-надзорных мероприятий. При этом запросы для проверки жалоб, поступивших от граждан, документарной проверкой не считаются.

Если оператор не предоставит требуемые документы и пояснения в срок, то Роскомнадзор организует выездную проверку.

4. Выездная проверка

Проводится по месту нахождения оператора и месту фактического осуществления обработки персональных данных. Оператор должен предоставить чиновникам доступ к оборудованию, которое обрабатывает персональные данные, а также всю затребованную документацию. Если оператор будет препятствовать проведению проверки, представители Роскомнадзора могут позвать на помощь полицию или прокуратуру

Выездная проверка не проводится в отношении физического лица, не являющегося индивидуальным предпринимателем.

КонсультантПлюс Краснодар — С 23 февраля будут проверять по-новому тех, кто обрабатывает персональные данные

20.02.2019 Правительство утвердило новые правила, по которым Роскомнадзор будет проводить проверки операторов персональных данных.

Ведомство сможет применять документ уже с 23 февраля вместо действующего регламента по надзору за обработкой персональных данных. Сравним новые правила с положениями регламента.

Организация проверок

Меньше оснований запланировать проверку

Начало обработки персональных данных больше не будет основанием для того, чтобы Роскомнадзор включил проверку в план. Таким образом, вместо трех оснований останется два.

Новое правило о периодичности плановой проверки

• В некоторых случаях проверку будут проводить не чаще одного раза в два года со дня окончания последней проверки. Это касается, в частности, операторов, которые:
• — обрабатывают персональные данные в государственных информационных системах;
• — собирают биометрические персональные данные и специальные категории таких данных.
• В регламенте подобного правила нет.

Новое основание для внеплановой проверки

Проверку смогут провести по решению руководителя Роскомнадзора или его территориального органа по итогам рассмотрения докладной записки.

Из нее должно следовать, что есть нарушения, которые выявлены в ходе контрольных мероприятий, проведенных без взаимодействия с оператором.

К ним относится, например, наблюдение за тем, как компания или ИП размещает информацию в Интернете и СМИ. Регламент этого не предусматривает.

Проведение проверок

Новый срок внеплановой проверки

Проверка займет максимум 10 рабочих дней. Этот срок смогут продлить один раз еще на столько же. Сейчас эти сроки в два раза больше.

Срок проведения плановой проверки не изменится.

Документарная проверка

Внеплановую документарную проверку проводить больше не будут. Сейчас она возможна.

Сократится срок представления документов проверяющим. Оператору нужно будет уложиться в 5 рабочих дней с даты получения запроса, а не в 10 рабочих дней, как сейчас.

Предоставить пояснения по поводу ошибок, противоречий в направленных ранее документах нужно будет в течение 3 рабочих дней, сейчас — 10 рабочих дней.

Выездная проверка

У оператора появится обязанность до начала проверки представить документы по запросу проверяющих. Сделать это нужно будет в срок, указанный в запросе. Он не будет меньше 2 рабочих дней со дня вручения запроса.

Документы представляются в виде копий, заверенных печатью (если она есть) и подписью представителя оператора. Их можно будет направить через Интернет, заверив усиленной квалифицированной электронной подписью. Сейчас такой обязанности нет.

Основания продления проверки

1. Роскомнадзор продлит срок проверки, если во время ее проведения:
2. — ведомство получило документы о нарушении требований к обработке персональных данных;
3. — возникли обстоятельства непреодолимой силы (пожар, затопление и пр.);
4. — оператор не представил нужные документы;
5. — проверяющие столкнулись с большим объемом работы.
6. Сейчас регламент устанавливает только последнее из перечисленных оснований.

Уведомление о продлении проверки

Роскомнадзору потребуется уведомить оператора о продлении проверки. На это отводится 3 рабочих дня с даты издания приказа о продлении. Сейчас такого требования нет.

Предписания для нарушителей

Срок устранения нарушений

Устранить нарушения нужно в течение 6 месяцев со дня выдачи предписания. Могут установить и меньший срок. Сейчас предельный срок не установлен.

Приостановка обработки персональных данных

От оператора могут потребовать приостановить обработку персональных данных. Это может произойти, если неисполнение предписания нарушает права и законные интересы субъекта персональных данных (например, работника). Сейчас основания для выдачи такого требования не определены.

Документ: Постановление Правительства РФ от 13.02.2019 N 146  

Защита персональных данных: как пройти проверку РКН — Институт Профессионального Кадровика

29 Ноября

1334

#CNT# data-template-html-inactive=В избранное #CNT#>

Личностные сведения граждан оберегает Федеральный закон 152 «О персональных данных». В феврале 2019 года вышло Постановление, которое вносит изменения и уточнения в процедуру проверок операторов персональных данных.

Оператор персональных данных — это любая организация или физлицо, которое организует или производит обработку персональных данных, а также определяет цели обработки, конкретные действия и состав личностных сведений.

Таким образом операторы персональных данных — это абсолютно все организации и предприниматели-работодатели, так как в процессе работы они обрабатывают личностные сведения сотрудников, а некоторые — и клиентов.

• Соблюдение Федерального закона 152 «О персональных данных».
• Документы, которые регламентируют в организации обработку личных сведений.
• Программное обеспечение и компьютеры, которые применяются для работы с данными.

Проверки могут быть плановыми и внеплановыми. При этом плановые бывают:

• Выездными — инспектор приезжает на место работы оператора или по адресу регистрации бизнеса.
• Документарными — ведомство запрашивает документы на проверку по почте.

При этом Роскомнадзор может в любой момент запросить у оператора пояснения по поводу претензии.

Это произойдет, если в ведомство обратится любой человек, которому показалось, что его личная информация недостаточно защищена, ее кому-то передают без его ведома или хранят, несмотря на просьбу об удалении. Такое обращение ведомства НЕ является документарной проверкой и не требует внесения в план.

Внеплановые проверки теперь могут быть только выездными, документарными — нет.

Также выделяют наблюдение без взаимодействия с оператором. В этом случае сотрудники РКН никак не уведомляют организацию или ИП, что их проверяют, пока (если) не возникнут нарекания.

Проходят согласно графику каждые три года с момента госрегистрации оператора в качестве юрлица/ИП или завершения последней плановой проверки. Расписание, в котором можно найти свою организацию, выложено на сайте Генпрокуратуры.

В некоторых ситуациях ревизию устраивают раз в два года. Это затрагивает тех, кто:

• Обрабатывает персональные данные в государственных информационных системах.
• Собирает биометрическую информацию. Например: рисунок радужки глаза, отпечатки пальцев, запись голоса и т.п.
• Собирает специальные категории данных. Это личная информация, которую без особых на то оснований компании и ИП узнавать не имеют права. Например, национальность, религиозные взгляды, заболевания.
• Передает личную информацию за границу.
• Обрабатывает личные сведения по поручению зарубежных организаций, которые не оформлены на территории РФ.

Роскомнадзор должен предупредить организацию о плановой проверке не позже чем за три рабочих дня. Оператор получит заказное письмо с уведомлением о вручении или электронное письмо на e-mail.

Не позже, чем за три рабочих дня до начала проверки РКН запросит документы. Отправьте их по почте или электронным письмом в течение пяти рабочих дней. Учитывайте, что датой сдачи документов считается не день отправки, а день, когда в ведомстве поставили штамп о получении. Если не уложитесь в срок, ведомство назначит внеплановую ревизию.

Для проведения проверки у ревизора есть 20 дней. Если он не уложится в этот срок, то может взять дополнительные 20 дней, но только единожды.

Если у оператора филиалы в нескольких регионах, длительность проверки устанавливается отдельно по каждому представительству, при этом максимальный общий срок — 60 рабочих дней.

Совет Следите за сроками. Если ревизия затянулась, можете подать жалобу на инспектора в Роскомнадзор.

По итогам работы ревизор выдаст акт проверки. В нем будут указаны нарушения или заключено, что их нет. Свой экземпляр вы сможете получить в течение 10 дней со дня подписания акта.

Если инспектор обнаружит ошибки или неточности, пришлет письмо. Дать ответ с пояснениями нужно будет в течение трех дней, иначе сотрудники ведомства придут с внеплановой проверкой.

Если проверяющий выявит нарушения, то вместе с актом пришлет предписание с указаниями, что нужно исправить. Там же будет прописан срок в пределах полугода со дня выдачи. Отсутствие нарушений нужно будет подтвердить документами. Если оператор не исправится или не пришлет документы, ревизор появится с проверкой вне графика.

Роскомнадзор может запретить работать с личной информацией до устранения нарушений. Если оператор проигнорирует запрет, его могут оштрафовать.

Оператор должен предоставить документы по запросу РКН в течение пяти рабочих дней. Если окажется, что в этих документах есть ошибки, противоречивые или неясные моменты или они не соответствуют информации, которой располагает ведомство, у оператора запросят пояснения. Он должен предоставить их в течение трех рабочих дней по почте или e-mail.

Прийти с ревизией вне графика просто так нельзя. Для нее должны быть основания:

• Роскомнадзор нашел у оператора нарушения в результате плановой проверки, предписал устранить, а оператор этого не сделал или сделал только частично.
• Ведомство нашло нарушения по защите персональных данных в процессе наблюдения за оператором. Например, инспектор заметил, что на сайте неправильно составлено соглашение об обработке личной информации.
• В ведомство обратились граждане и предоставили документы, подтверждающие факт нарушения их прав со стороны оператора.
• Поручение Президента или Правительства РФ.
• Требование прокурора.

Пример

Роскомнадзор будет по-новому проверять операторов персональных данных

18 / 04 / 2019 Бухгалтеру об отчетности и не только 23 февраля 2019 года вступило в силу постановление Правительства РФ от 13.02.

2019 № 146, которое устанавливает новый порядок проведения проверок операторов персональных данных. Изменились сроки предоставления документов и основания для проверки.

Теперь внеплановые проверки компаний, похоже, станут основным видом контроля Роскомнадзора.

Кого и что проверят?

Проверке подвергнутся юридические лица и индивидуальные предприниматели, являющиеся операторами персональных данных. Это практически все компании, получающие такие сведения о своих сотрудниках и клиентах-физических лицах. Напомним, что персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу.  К примеру, это:

• Ф.И.О.;
• адрес проживания;
• электронный адрес;
• дата и место рождения;
• семейное положение;
• паспортные данные;
• место работы и должность;
• сведение о судимости и т.д.

Роскомнадзор проверяет компании с целью выявления и пресечения нарушений требований Закона «О персональных данных». В новом регламенте указано, что Роскомнадзор не будет проверять «техническую сторону» защиты персональных данных, обрабатываемых компанией.

Какие виды проверок бывают?

• Плановые (выездные и документарные).
• Внеплановые (выездные). Были исключены внеплановые документарные проверки.
• Мероприятия без взаимодействия инспекторов с операторами.

На заметку Запретили назначать выездную проверку оператора-физического лица, не являющегося индивидуальным предпринимателем, например, нотариуса, адвоката .

Какова частота плановых проверок?

В стандартных случаях проверку могут провести раз в 3 года (с момента государственной регистрации компании или окончания последней плановой проверки). В отдельных случаях, если компания собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персональных данных и т.д. – раз в 2 года.

В новом порядке проведения проверок, утвержденном Постановлением № 146, изменились сроки проверки:

• Продолжительность внеплановой проверки сократили с 20 до 10 дней.
• До 5 дней сократили срок предоставления материалов для документарной проверки. Если они направляются в электронной форме, то их нужно подписать усиленной квалифицированной электронной подписью (КЭП).
• Документарная проверка может превратиться в выездную, если компания опоздала с предоставлением документов в Роскомнадзор. Кстати, срок для дополнительно запрашиваемых документов сократили с 10 до 3 дней.
• Запрашиваемые при выездной проверке документы необходимо предоставить в течение 2 дней.
• Предельный срок устранения выявленных в ходе проверки нарушений теперь будет составлять 6 месяцев (ранее такой срок определялся на усмотрение Роскомнадзора).
• Расширили перечень оснований для продления срока проведения проверки. Так, например, продлить проверку может разветвленность организационно-хозяйственной структуры компании, сложность технологических процессов обработки персональных данных.

На заметку Ежегодный план проверок размещается в сети Интернет на сайте Роскомнадзора

Основания для внеплановых проверок;

• В случае неисполнения предписаний об устранении нарушений.
• По обращениям граждан.
• По поручению Президента или Правительства РФ.
• По требованию прокурора.
• В случае нарушения, выявленного в ходе мероприятия систематического наблюдения.

Когда и как уведомят компанию?

• О проведении плановой проверки – не позднее, чем за 3 рабочих дня (ранее было «не позднее, чем в течение 3 рабочих дней до начала ее проведения»).
• О проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.

Уведомление может осуществляться (либо-либо):

• Электронным документом с усиленной КЭП на электронную почту.
• Заказным письмом с уведомлением о вручении.

Делаем выводы

В настоящее время порядок проведения проверок регулируется Административным регламентом, утвержденным приказом Минкомсвязи России от 14.11.2011 № 312. Обновленный порядок закрепился на более высоком нормативном уровне и дополнился новыми пунктами. Значит, он будет использоваться в работе в первую очередь. Ранее, в силу жесткого ограничения законодательства и Административного регламента, проверок компаний, обрабатывающих персональные данные, было мало. Сейчас, после принятия нового регламента, плановых и внеплановых проверок Роскомнадзора может стать намного больше.

Новые правила проверок операторов персональных данных Роскомнадзором | Аккаунтор

13 февраля правительство утвердило правила, в соответствии с которыми Роскомнадзор будет проводить проверки операторов персональных данных. Новые правила были разработаны вместо регламента по надзору за обработкой персональных данных.
Мы рассмотрели основные изменения.

Два основания плановой проверки вместо трёх 

Начало обработки персональных данных исключено из списка оснований для включения проверки в план. Остаётся два основания внесения в план проверок. Это истечение 3 лет со дня:

1. Государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя;
2. Окончания последней плановой проверки оператора.

Изменения в периодичности плановой проверки

Появилось новое правило, касающееся периодичности проверок. Теперь Роскомнадзор будет проводить плановую проверку не чаще 1 раза в 2 года, если:

• Оператор использует государственные информационные системы обработки персональных данных;
• Оператор осуществляет сбор биометрических и специальных категорий персональных данных;
• Оператор передаёт данные в иностранное государство, не обеспечивающее адекватную защиту прав субъектов персональных данных;
• Оператор осуществляет обработку персональных данных по поручению иностранного государственного органа, иностранного юридического лица, иностранного физического лица, которые не зарегистрированы в установленном порядке на территории Российской Федерации.

Дополнительное основание для внеплановой проверки

Внеплановую проверку теперь можно проводить на основании решения руководителя Роскомнадзора при рассмотрении докладной записки, которая содержит выводы о нарушениях, выявленные без взаимодействия с оператором. Например, если проверяющий обнаружил, что компания нарушает правила при размещении информации в интернете или СМИ. 

Сокращен срок внеплановой проверки

Срок проведения внеплановой проверки не сможет превышать 10 рабочих дней и может быть продлен однократно не более чем на 10 рабочих дней.
Срок проведения плановой проверки не изменился (не более 20 рабочих дней).

Изменения в документарных проверках 

• Внеплановые документарные проверки проводиться больше не будут. 
• Однако сокращается срок представления оператором документов для плановой проверки – с 10 рабочих дней срок сократился до 5 рабочих дней с даты получения запроса Роскомнадзора. 
• Если при документарной проверке найдены ошибки, противоречия в предоставленных документах и информации, или Роскомнадзор нашёл в них несоответствие тем документам и информации, которые есть у него, то он сообщает об этом оператору и требует предоставить пояснения. Оператор должен дать необходимые пояснения в течение 3 рабочих дней в письменной или электронной форме. Раньше этот срок составлял 10 рабочих дней. 

Уточнен порядок проведения выездной проверки 

1. Выездная проверка начинается с того, что проверяющие должностные лица:
   1. Предоставляют служебное удостоверение;
   2. Знакомят представителя проверяемой компании:
      1. С приказом о назначении выездной проверки и своими полномочиями, целями, задачами и основаниями для проверки;
      2. С видами и объёмом мероприятий по проверке;
      3. Со сроками и условиями проведения проверки.
2. До начала проверки должностные лица делают письменный запрос о предоставлении документов и информации, которые необходимы для проверки;
3. На предоставление этих документов оператору даётся не меньше 2 рабочих дней;
4. Оператор должен направить через интернет копии запрошенных документов, заверенные печатью (если она есть) и подписью своего представителя. Документ должен быть также заверен усиленной квалифицированной электронной подписью. 

Расширен перечень оснований для продления проверки

Проверки могут быть продлены, если:

• В ходе проверки получены документы о нарушении оператором требований законодательства от правоохранительных органов, прокураторы или из других источников;
• Возникли обстоятельства непреодолимой силы (затопление, наводнение, пожар и т.п.) на территории, где проводится проверка;
• Оператор не предоставил необходимые документы во время проверки;
• Должностное не успевает завершить проверку из-за большого количества документов, видов деятельности по обработке персональных данных, разветвлённой структуры оператора, сложности технологических процессов. 

Раньше работало только последнее основание из этого списка.

Роскомнадзор обязан издать приказ о продлении проверки

Чтобы продлить проверку, Роскомнадзор должен:

1. Издать приказ о продлении проверки;
2. Направить копию приказа оператору любым удобным способом в течение 3 дней с момента издания приказа. Срок устранения нарушений – 6 месяцев.

Роскомнадзор составляет список нарушений во время проверки, которые необходимо устранить. Срок не может превышать 6 месяцев со дня выдачи предписания об устранении нарушений. 

Роскомнадзор сможет потребовать приостановить обработку персональных данных

Если оператор нарушает законные права и интересы субъекта персональных данных, то Роскомнадзор может потребовать приостановить деятельность по их обработке до устранения нарушения, указанного в предписании. 

Рекомендации Аккаунтор

Мы рекомендуем заблаговременно проверить соблюдение требований законодательства. Наши специалисты будут рады провести аудит в части соблюдения компанией законодательства о персональных данных.

Проверка Роскомнадзора 2020. План. Что проверяют

Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.

Полномочия Роскомнадзора

У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:

1. Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
2. Надзор над предоставлением услуг в области связи.
3. Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
4. Ведение информационной системы, реестров операторов связи.
5. Регистрация СМИ.
6. Защита информации, являющейся государственной тайной.

Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.

Разновидности проверок

Роскомнадзор осуществляет следующие формы проверок:

• Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
• Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
• Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
• Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.

Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

Что именно будут проверять

Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

Роскомнадзор осуществляет контроль над следующими направлениями:

• Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
• Системы, осуществляющие обработку данных (ПК и программы).
• Наличие локальных нормативных актов.
• Исполнение положений этих актов.
• Сайт организации.

Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.

Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:

• Учредительная документация (ИНН, устав и прочее).
• Уведомление о том, что фирма работает с ПД.
• Перечень ПД, сбор которых осуществляется.
• Перечень работников, у которых есть доступ к данным.
• Приказ о допуске таких сотрудников к ПД.
• Инструкции для специалистов, которые работают с данными.
• Положение об ответственности сотрудников за разглашение ПД.
• Документ об обработке ПД.
• Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
• Соглашение о неразглашении ПД.
• Письменное согласие лиц на обработку.
• Журналы инструктажей относительно мер безопасности.
• Журналы учета носителей сведений.

Роскомнадзор также может затребовать и другие документы.

Продолжительность проверки

Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней.

Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников.

Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.

Особенности подготовки к проверке

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением.

Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее.

Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
2. Проверка соответствия деятельности информации, прописанной в едином реестре.
3. Назначение лица, ответственного за работу с ПД.
4. Составление Политики фирмы в отношении обработки ПД.
5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
6. Проверка правильности хранения документов, ограниченности доступа к ним.
7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Как осуществляется проверка

Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие.

Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней.

Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.

Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.

Результаты проверки

В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.

Можно ли обжаловать результаты проверки?

Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения.

Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции.

Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.

С 23 февраля 2019 года изменен порядок проверки операторов, обрабатывающих персональные данные

• Правительство утвердило новые правила, по которым Роскомнадзор будет проводить проверки операторов персональных данных.
• Начало обработки персональных данных больше не является основанием для того, чтобы Роскомнадзор включил проверку в план.
• В некоторых случаях проверку разрешено проводить не чаще одного раза в два года со дня окончания последней проверки. Это касается, в частности, операторов, которые:

• обрабатывают персональные данные в государственных информационных системах;
• собирают биометрические персональные данные и специальные категории таких данных. Ранее подобного правила не было.

Появилось новое для внеплановой проверки:

Проверку можно провести по решению руководителя Роскомнадзора или его территориального органа по итогам рассмотрения докладной записки.

Из нее должно следовать, что есть нарушения, которые выявлены в ходе контрольных мероприятий, проведенных без взаимодействия с оператором.

К ним относится, например, наблюдение за тем, как компания или ИП размещает информацию в Интернете и СМИ. Регламент этого не предусматривал.

Установлен новый срок внеплановой проверки

Проверка займет максимум 10 рабочих дней. Этот срок смогут продлить один раз еще на столько же. Ранее эти сроки были в два раза больше.

Срок проведения плановой проверки не изменился.

Сократился срок представления документов проверяющим. Оператору нужно будет уложиться в 5 рабочих дней с даты получения запроса, а не в 10 рабочих дней, как ранее.

Предоставить пояснения по поводу ошибок, противоречий в направленных ранее документах нужно в течение 3 рабочих дней, ранее — 10 рабочих дней.

У оператора появилась обязанность до начала проверки представить документы по запросу проверяющих. Сделать это нужно в срок, указанный в запросе. Он не может составлять менее 2 рабочих дней со дня вручения запроса.

Роскомнадзор имеет право продлить срок проверки, если во время ее проведения:

• ведомство получило документы о нарушении требований к обработке персональных данных;
• возникли обстоятельства непреодолимой силы (пожар, затопление и пр.);
• оператор не представил нужные документы;
• проверяющие столкнулись с большим объемом работы. В случае продления срока проведения проверки Роскомнадзор обязан уведомить оператора в течение 3 рабочих дней с даты издания приказа о продлении.

Срок устранения нарушений

Устранить нарушения нужно в течение 6 месяцев со дня выдачи предписания. Могут установить и меньший срок. Ранее предельный срок устанавливался.