Роскомнадзор: проверка ведомства и как к ней подготовиться

Роскомнадзор — Федеральная служба, которая контролирует связь, информационные технологии и средства массовой информации. Также следит за тем, как соблюдают закон о персональных данных. Ведомство проверяет компании, ИП и даже физических лиц. В статье расскажем, что нужно знать о проверках и как подготовиться.

Таблица новых штрафов за нарушения в работе с персданными (на декабрь 2023)

Что такое персональная информация и кто попадает под действие закона

Персональные данные — информация о человеке: как его зовут, когда и где родился, какой национальности и где живет. Также номера телефонов и электронная почта, фотографии, медицинские заключения, биометрия и другие сведения. 

Компании и ИП собирают личную информацию. Например, когда принимают новых сотрудников или когда клиенты заполняют анкету, чтобы получить скидочную карту или бонусы. Государственные службы и МФЦ — когда регистрируют запрос на оформление документов. Даже физические лица — когда ведут деятельность в интернете. Конечно, список контактов в телефоне никто проверять не будет, но если физлицо — блогер и собирает электронную почту, чтобы рассылать предложения, он попадает под действие закона от 27 июля 2006 г. N 152-ФЗ.

Все, кто собирает личные сведения, становятся операторами персональных данных и обязаны зарегистрироваться в специальном реестре Роскомнадзора, ч. 1, 2 ст. 22 Закона от 27.07.2006 № 152-ФЗ, либо в течение 30 дней отправить письменное обоснование, почему это делать не обязаны. Например, если работодатель собирает персональную информацию по трудовым договорам с сотрудниками п.1 ч. 2 ст. 22 Закона № 152-ФЗ, или когда сведения только на бумажном носителе и не выкладываются в общий доступ в интернет.

Форму уведомления можно заполнить сразу на сайте Роскомнадзора. А если компания регистрировалась в реестре давно и были изменения в обработке персональных сведений, то есть форма для внесения изменений в уведомление.

Обратите внимание! Когда компания сдает отчетность в ПФР, ФСС, предоставляет сведения в другие госорганы, работодателю даже не нужно согласие работника на передачу персональных данных, пп. 2–11 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ. Но с другой стороны это третьи лица и передача им информации выходит за рамки трудовых отношений. Четкий разъяснений в Роскомнадзоре не дали. В этом случае, даже если компания не обязана регистрироваться в реестре операторов персональных данных, лучше подать уведомление, чтобы избежать в дальнейшем споров с проверяющими.

Что будут проверять надзорные органы

Если у компании проверка Роскомнадзора, то инспекторы будут смотреть, как соблюдают закон о персональных данных, документы, которые определяют хранение и обработку личных сведений (ч.1 ст. 18.1 закона 152-ФЗ), технику и программы, с помощью которых эта информация обрабатывается, сайт компании, если он существует. 

В документах компания обязана четко прописать процесс обработки и защиты персональных сведений, сами документы должны быть актуальными. Если описание будет слишком абстрактным в общих фразах, а ответственным за организацию обработки данных назначен сотрудник, который уже давно не работает в компании, то гарантирована претензия проверяющих. 

Журналы по личным сведениям стоит заполнить хотя бы минимально. Например, есть журнал учета инструктажей по информационной безопасности, если он будет чистый, то проверяющие зададут вопросы. 

Письменное согласие человека на обработку персональной информации должно соответствовать ст. 9 закона 152-ФЗ, который обязывает писать юридический адрес оператора. Также нельзя оставлять общую фразу «разрешаю передачу моих данных третьим лицам» теперь нужно указывать какие именно сведения будут передаваться, кому и с какой целью. Сотрудники, которых касаются приказы на обработку персональных сведений, должны поставить свою подпись после ознакомления.   

Как компания успела провести аудит и выявила нарушения в персданных на многомиллионные штрафы до прихода Роскомнадзора, читайте здесь.

Какие проверки у Роскомнадзора

Проверка Роскомнадзора может быть плановой или внеплановой. Плановые проводятся в среднем раз в три года. Если компания относится к категории высокого риска, не соблюдает требования закона, ее проверяют раз в два года. 

Организацию уведомляют за три дня до начала проведения такой проверки. 

Обычно Роскомнадзор план проверок публикует на своем сайте или на сайте Генпрокуратуры.

Плановых проверок в этом году станет меньше.

По форме проведения проверки бывают документарные и выездные. Последнюю могут заменить новым видом контроля — инспекционным визитом, который проходит за один рабочий день. Контролирующий орган отметил, что с этого года не будет проводить проверки без участия компании, которую проверяет (п. 6 Положения, утв. постановлением Правительства от 29.06.2021 № 1046). 

Есть еще один вид контроля — наблюдение. Проводится по специальному заданию, которое дает правительство или руководитель Роскомнадзора в случае, если на компанию  пожаловались или в СМИ появилась информация, что она нарушает закон о персональных данных. Сотрудники ведомства тайно наблюдают и анализируют информацию, которую компания выкладывает в интернет. По итогам наблюдения могут попросить удалить сведения, которые не соответствуют закону, заблокировать ресурс или прийти в компанию с выездной проверкой.

Важно! Всегда обращайте внимание на должность человека, который принял решение о проверке. Инициировать контрольное мероприятие имеет право только глава Роскомнадзора и его заместители, а также руководители территориальных отделов ведомства и их заместители. Если в решении обозначена другая должность, то проверка незаконна.

Роскомнадзор: проверки и как подготовиться

На подготовку отводится мало времени, особенно при внеплановой проверке — 24 часа, поэтому нужно обратить внимание на следующие моменты:

• проверить, подавала ли компания уведомление о регистрации в качестве оператора обработки персональных данных или направляла отказ. 
• если нет сотрудника, ответственного за обработку и хранение личных сведений, то назначить его. 
• привести в порядок внутреннюю политику работы с персональными сведениями и ознакомить работников под подпись.
• проинструктировать сотрудников, как и что говорить проверяющим. Важно, чтобы они не отвечали на вопросы и ничего не подписывали без руководителя.
• проверить места, в которых хранятся персональные данные: есть ли замки и несгораемые шкафы, ограничение доступа к компьютеру и есть ли обязательство о неразглашении с подписью ответственных лиц.

Совет. Не дожидайтесь проверки Роскомнадзора. Заранее проведите аудит персональных данных. Штрафы за нарушения в этой области могут доходить до миллионов. Кроме этого, могут даже приостановить деятельность компании. Кейс, как аудит персданных спас гендиректора от дисквалификации и тюрьмы, читайте здесь.

Наказание за нарушение закона о персональных данных

Роскомнадзор за персональные данные, которые неправильно хранят и обрабатывают, может назначить штраф. С прошлого года они выросли в два раза.

Если в компании нет письменного согласия на обработку персональных сведений работников, то наказать могут на 150 тысяч рублей. Одного согласия на обработку теперь мало, нужно брать отдельный документ на каждую операцию с личными данными: на распространение, если компания будет публиковать информацию в интернете, и на передачу третьим лицам, если передают сведения, например, в банк. 

Чем различаются эти виды согласий читайте в нашей статье.

Если найдут повторное нарушение, то оштрафуют на сумму от 300 до 500 тысяч рублей
(ч. 2.1 ст. 13.11 КоАП).

Все штрафы Роскомнадзора можно посмотреть в таблице.