Защита персональных данных: как пройти проверку РКН
- Что проверяет Роскомнадзор
- Виды проверок
- Плановые проверки
- Как проходит плановая проверка
- Возможные последствия плановой проверки
- Документарная проверка
- Внеплановые проверки
- Как проходит внеплановая проверка
- Возможные последствия внеплановой проверки
- Наблюдение за оператором
- Основания для продления проверки
- При каких обстоятельствах можно оспорить результаты проверки
- 7 случаев, когда Роскомнадзор может оштрафовать
- Суммы штрафов
Личностные сведения граждан оберегает Федеральный закон 152 «О персональных данных». В феврале 2019 года вышло Постановление, которое вносит изменения и уточнения в процедуру проверок операторов персональных данных.
Оператор персональных данных — это любая организация или физлицо, которое организует или производит обработку персональных данных, а также определяет цели обработки, конкретные действия и состав личностных сведений.
Таким образом операторы персональных данных — это абсолютно все организации и предприниматели-работодатели, так как в процессе работы они обрабатывают личностные сведения сотрудников, а некоторые — и клиентов.
Что проверяет Роскомнадзор
- Соблюдение Федерального закона 152 «О персональных данных».
- Документы, которые регламентируют в организации обработку личных сведений.
- Программное обеспечение и компьютеры, которые применяются для работы с данными.
Виды проверок
Проверки могут быть плановыми и внеплановыми. При этом плановые бывают:
- Выездными — инспектор приезжает на место работы оператора или по адресу регистрации бизнеса.
- Документарными — ведомство запрашивает документы на проверку по почте.
При этом Роскомнадзор может в любой момент запросить у оператора пояснения по поводу претензии. Это произойдет, если в ведомство обратится любой человек, которому показалось, что его личная информация недостаточно защищена, ее кому-то передают без его ведома или хранят, несмотря на просьбу об удалении. Такое обращение ведомства НЕ является документарной проверкой и не требует внесения в план.
Внеплановые проверки теперь могут быть только выездными, документарными — нет.
Также выделяют наблюдение без взаимодействия с оператором. В этом случае сотрудники РКН никак не уведомляют организацию или ИП, что их проверяют, пока (если) не возникнут нарекания.
Плановые проверки
Проходят согласно графику каждые три года с момента госрегистрации оператора в качестве юрлица/ИП или завершения последней плановой проверки. Расписание, в котором можно найти свою организацию, выложено на сайте Генпрокуратуры.
В некоторых ситуациях ревизию устраивают раз в два года. Это затрагивает тех, кто:
- Обрабатывает персональные данные в государственных информационных системах.
- Собирает биометрическую информацию. Например: рисунок радужки глаза, отпечатки пальцев, запись голоса и т.п.
- Собирает специальные категории данных. Это личная информация, которую без особых на то оснований компании и ИП узнавать не имеют права. Например, национальность, религиозные взгляды, заболевания.
- Передает личную информацию за границу.
- Обрабатывает личные сведения по поручению зарубежных организаций, которые не оформлены на территории РФ.
Роскомнадзор должен предупредить организацию о плановой проверке не позже чем за три рабочих дня. Оператор получит заказное письмо с уведомлением о вручении или электронное письмо на e-mail.
Как проходит плановая проверка
Не позже, чем за три рабочих дня до начала проверки РКН запросит документы. Отправьте их по почте или электронным письмом в течение пяти рабочих дней. Учитывайте, что датой сдачи документов считается не день отправки, а день, когда в ведомстве поставили штамп о получении. Если не уложитесь в срок, ведомство назначит внеплановую ревизию.
Для проведения проверки у ревизора есть 20 дней. Если он не уложится в этот срок, то может взять дополнительные 20 дней, но только единожды.
Если у оператора филиалы в нескольких регионах, длительность проверки устанавливается отдельно по каждому представительству, при этом максимальный общий срок — 60 рабочих дней.
Совет
Следите за сроками. Если ревизия затянулась, можете подать жалобу на инспектора в Роскомнадзор. |
По итогам работы ревизор выдаст акт проверки. В нем будут указаны нарушения или заключено, что их нет. Свой экземпляр вы сможете получить в течение 10 дней со дня подписания акта.
Возможные последствия плановой проверки
Если инспектор обнаружит ошибки или неточности, пришлет письмо. Дать ответ с пояснениями нужно будет в течение трех дней, иначе сотрудники ведомства придут с внеплановой проверкой.
Если проверяющий выявит нарушения, то вместе с актом пришлет предписание с указаниями, что нужно исправить. Там же будет прописан срок в пределах полугода со дня выдачи. Отсутствие нарушений нужно будет подтвердить документами. Если оператор не исправится или не пришлет документы, ревизор появится с проверкой вне графика.
Роскомнадзор может запретить работать с личной информацией до устранения нарушений. Если оператор проигнорирует запрет, его могут оштрафовать.
Документарная проверка
Оператор должен предоставить документы по запросу РКН в течение пяти рабочих дней. Если окажется, что в этих документах есть ошибки, противоречивые или неясные моменты или они не соответствуют информации, которой располагает ведомство, у оператора запросят пояснения. Он должен предоставить их в течение трех рабочих дней по почте или e-mail.
Внеплановые проверки
Прийти с ревизией вне графика просто так нельзя. Для нее должны быть основания:
- Роскомнадзор нашел у оператора нарушения в результате плановой проверки, предписал устранить, а оператор этого не сделал или сделал только частично.
- Ведомство нашло нарушения по защите персональных данных в процессе наблюдения за оператором. Например, инспектор заметил, что на сайте неправильно составлено соглашение об обработке личной информации.
- В ведомство обратились граждане и предоставили документы, подтверждающие факт нарушения их прав со стороны оператора.
- Поручение Президента или Правительства РФ.
- Требование прокурора.
Пример
Университет разработал тест по психологии и разместил его на стороннем ресурсе. Пользователи проходили тест и сразу получали результаты, после чего видели окно с предложением поделиться ими с разработчиками и оставить личные данные Facebook. Оказалось, что сайт не обеспечил достаточных мер для защиты персональных данных. Чтобы получить пароль от профиля участника тестирования, нужно было всего лишь зарегистрироваться соавтором проекта. После жалоб пользователей сайт оштрафовали и закрыли. |
РКН должен предупредить фирму о проведении внеплановой проверки не менее чем за 24 часа до начала заказным письмом или по электронной почте.
Срок проведения внеплановой проверки — 10 рабочих дней. Инспектор может продлить его один раз еще на 10 дней.
Как проходит внеплановая проверка
Ревизоры придут с приказом. Без него проверку проводить не имеют права. В документе будет написано, кто проводит проверку, по каким причинам, сроки и условия.
Совет
Не забудьте посмотреть удостоверения: фамилии и должности проверяющих, указанные в них, должны совпадать с прописанными в приказе. |
У вас запросят документы и оборудование, которое используется для работы с личностными данными. Все это нужно предоставить в течение двух дней после получения запроса.
Сотрудники ведомства имеют право свободного доступа к помещениям, которые используются при работе с личной информацией, а также к оборудованию. Если будете мешать — не давать пройти в кабинет, прятать компьютеры — рискуете получить приглашение в полицию. Однако можно и нужно наблюдать за процедурой проверки, а также давать сотрудникам Роскомнадзора пояснения, отвечать на их вопросы. Максимальный срок внеплановой проверки составляет 20 дней. Если инспектор его превысил, имеете право пожаловаться в ведомство.
Инспектор обязан рассказать вам о результатах проверки и составить акт. В нем должна быть информация о нарушениях или их отсутствии. Один экземпляр акта должен остаться у вас. Если ревизор приедет и никого не застанет на месте, он будет пытаться встретиться с оператором в течение месяца. Если попытки будут безуспешны, составит акт о невозможности проведения проверки. После этого ведомство придет к вам с повторной ревизией в ближайшие три месяца в любой момент — уже без предупреждения.
Возможные последствия внеплановой проверки
Нарушения. Если обнаружат нарушения, предпишут оператору устранить их максимум за полгода, иногда дают меньше. Нужно обязательно подтвердить исправление документами. Их можно отправить по почте, электронным письмом или принести в региональное управление РКН.
Непорядок. За непорядок в сфере защиты персональных данных ведомство может ограничиться предупреждением или оштрафовать. При этом финансовое наказание несет и юридическое лицо, и директор.
Роскомнадзор может запретить собирать и обрабатывать личностные сведения до устранения нарушений. Если оператор нарушит запрет, его могут оштрафовать.
Наблюдение за оператором
Проводится тайно. Не предупреждая оператора, инспекторы смотрят, какую информацию компания/человек публикует в интернете и СМИ, какие документы предоставляет в Роскомнадзор. Например, сотрудники ведомства могут изучить пользовательское соглашение или форму подписки на вашем сайте.
Работники ведомства имеют право проводить наблюдение только по заданию.
Основанием могут стать следующие события:
- Президент, правительство или руководитель федерального РКН поручили наблюдать за оператором.
- Граждане (пользователи, сотрудники) обратились с жалобой в РКН.
- В СМИ появилась информация, что оператор нарушает закон о защите персональных данных.
Если при наблюдении проверяющий выявил нарушения, то докладывает о них руководству отделения Роскомнадзора. После этого могут назначить проверку вне графика или просто сразу попросить устранить нарушения, уточнить, заблокировать или удалить недостоверные или неправомерно полученные данные. Как правило, на это дается 10 дней. Если оператор не выполнит требования, его оштрафуют.
Основания для продления проверки
Февральское Постановление определило основания для продления проверки, а также обязало инспекторов уведомлять операторов о ее продлении — на это дается 3 рабочих дня после выхода соответствующего приказа.
Причины для продления проверки:
- У РКН появились документы, которые показывают, что оператор нарушает закон.
- В месте, где проходит проверка, возникли обстоятельства непреодолимой силы. Например, возгорание, затопление и прочие форс-мажоры.
- Масштабы работы недооценили: сама компания и внутренние процессы сложно устроены, нужно проверить больше документов и т.д.
- Оператор не предоставил информацию, которую у него запросили.
При каких обстоятельствах можно оспорить результаты проверки
Повод для обжалования — любое нарушение сотрудником Роскомнадзора правил, предписанных Постановлением. Ревизоры не показали приказ о проверке, не пускали вас в помещение и не давали высказаться, превысили допустимые сроки проверки? Все это достаточные основания.
Кроме того, вы можете подать жалобу, если РКН запретил вам работать с персональными данными, а вы уверены, что ничего не нарушали.
Пример
Подбирая сотрудников, организация публикует вакансии на работных сайтах, а принятые резюме хранит на рабочих компьютерах в HR-отделе. Проверяющий заключил, что компания нарушила требования по защите персональных данных, поскольку не сообщила ведомству, что работает с личными сведениями таким способом. Однако суд с ведомством не согласился и вынес решение в пользу компании.
Суд пояснил, что правоотношения между соискателем и потенциальным работодателем регулирует закон о занятости населения. Согласно ему, работодатели должны помогать гражданам в трудоустройстве, поддерживая госполитику обеспечения работой населения. При этом можно брать на работу соискателей, непосредственно обратившихся в организацию, на равных с присланными службой занятости. Таким образом, работодатель имеет право обрабатывать и хранить личные данные соискателей при наличии их письменного согласия. |
С жалобой можно обратиться в ведомство лично в устной форме либо отправить письмо по почте или e-mail.
Если вы жалуетесь на сотрудников регионального Роскомнадзора — отправляйте жалобу в региональное управления Роскомнадзора. Если жалуетесь на проверяющих из федеральной службы — в федеральный Роскомнадзор.
У ведомства есть 30 дней на рассмотрение жалобы со дня ее регистрации. РКН может согласиться с претензией полностью, частично или вообще не согласиться.
Если вы подавали жалобу в региональный Роскомнадзор, и он с ней не согласился, обращайтесь в федеральное управление. Если и там результат отрицательный, идите в суд.
7 случаев, когда Роскомнадзор может оштрафовать
Роскомнадзор может наказать рублем, если оператор:
- Собирает данные, которые запрещено собирать законом.
- Собирает сведения, в которых нет необходимости для решения его задач.
- Обрабатывает личную информацию без письменного согласия или при неправильно составленном согласии человека.
- Не выложил в свободный доступ пояснения, как он обрабатывает и защищает персональные данные.
- Не предоставил человеку информацию об обработке его данных.
- Не стал исправлять, блокировать или удалять ошибочные, неактуальные или незаконно полученные личностные данные, несмотря на требование их владельца или РКН.
- Не обеспечил защиту персональных данных, из-за чего их обнаружили и использовали сторонние лица.
- Не предоставил вовремя нужную информацию в Роскомнадзор.
Суммы штрафов
- Физлица — от 100 до 5 000 руб.
- ИП — от 100 до 20 000 руб.
- Должностные лица — от 300 до 20 000 руб.
- Юрлица — от 3000 до 75 000 руб.
Лучший способ защититься от штрафов — досконально знать и соблюдать требования законодательства. Но самостоятельно разобраться во множестве документов со всеми тонкостями и нюансами, отследить все изменения — сложно. Поэтому мы создали авторский курс «Новые правила работы с персональными данными». |
- Комментарии