Роспотребнадзор проверки персональные данные

Вам может пригодиться:

Уведомление Роскомнадзора о прекращении обработки персданныхОбразец от экспертаПоложение о работе с персональными данными работниковОбразец от эксперта

Как проходит проверка Роскомнадзора по защите персональных данных

Роскомнадзор уполномочен проводить проверки операторов персональных данных. Ежегодно утверждается новый план мероприятий, выкладываемый в открытый доступ. Плановые проверки предприятий проводятся не чаще чем раз в три года, а внеплановые — без привязки к срокам, в рамках работы с нарушениями, обращениями и жалобами. Прислушайтесь к советам Роскомнадзора, которые собрала редакция журнала «Кадровое дело». Так вы избежите внепланового визита инспектора.

Внимание! С 2019 года утвердили новый порядок проверок Роскомнадзора. Теперь в отдельных случаях Роскомнадзору разрешили проверять работодателя раз в два года.

➤ Читайте также: Плановая проверка Роспотребнадзора на 2020 год

Таблица. Как изменились сроки проверок

Смотреть в статье

4 причины для внеплановой проверки персональных данных сотрудников

  1. Истек срок предписания об устранении нарушения, ранее выданного Роскомнадзором
  2. Поступила жалоба на нарушение от граждан, юридических лиц, индивидуальных предпринимателей, органов местного самоуправления или государственной власти
  3. По приказу руководителя Роскомнадзора или его территориального управления
  4. Выявлены нарушения в ходе систематического наблюдения за оператором.

Систематическое наблюдение — еще один вид контроля. В отличие от проверок, о наблюдении оператор не оповещается, прямого взаимодействия с поднадзорными лицами не происходит. Сотрудники Роскомнадзора проверяют интернет-сайты организаций, инициируя внеплановые проверки только при выявлении правонарушений.

Проверки могут быть документарными и выездными. В первом случае проверяющий ограничивается удаленной экспертизой документов, во втором — лично посещает организацию. Прислать все необходимые документы для проверки следует в течение 10 дней с момента получения запроса.

Какие документы должны предоставить по запросу

  1. Уведомление об обработке персональных данных (ПД).
  2. Перечень работников, допущенных к обработке ПД.
  3. Пакет учредительных документов предприятия.
  4. Соглашения о неразглашении ПД, заверенные подписями сотрудников.
  5. Документы, определяющие порядок обработки, уничтожения, учета, защиты, передачи, а также место хранения ПД.
  6. Должностные инструкции и приказы о назначении сотрудников, ответственных за организацию работы с ПД.
  7. Типовые формы документов, содержащих ПД.
  8. Перечни используемых средств защиты информации.
  9. Журналы учета носителей персональных данных, инструктажей по информационной безопасности и т.д.

Роскомнадзор обязан предупредить оператора о грядущей плановой проверке. Уведомление отправляется заказным письмом или по электронным каналам не позже чем за три рабочих дня до ее начала. О внеплановой проверке уведомляют как минимум за 24 часа до ее начала любым доступным способом. Исключение — внеплановая выездная проверка на основании обращений, свидетельствующих о нарушениях закона и угрозах возникновения чрезвычайных ситуаций. В этом случае уведомление не требуется.

Внимание! Двадцать рабочих дней в общей сложности (в отношении всех проверок) может длиться проверка персональных данных, Роскомнадзор вправе пролонгировать этот срок только при наличии серьезных оснований. Например, если необходима дополнительная экспертиза документов.

Шпаргалка. Новые правила продления проверки

Смотреть шпаргалку

Какие данные вносятся в итоговый акт проверки Роскомнадзора

По результатам проверки составляется письменный акт. В нем перечисляются все выявленные нарушения и меры ответственности, применяемые к оператору. Представителя поднадзорной организации знакомят с актом под подпись, а в случае отказа отправляют заверенный акт заказным письмом с уведомлением о вручении. Кроме того, на основании акта выдается предписание об устранении нарушений и протокол об административной ответственности. Узнайте в журнале «Кадровое дело», какие ошибки при работе с персональными данными чаще всего приводят к многотысячным штрафам.

Выводы проверяющего можно оспорить. Если работодатель не согласен с результатами, изложенными в акте проверки, и не хочет выполнять предписание, он вправе в течение 15 дней подать возражение в письменной форме в территориальное управление Роскомнадзора. Подтвердите обоснованность возражений документами и письменными свидетельскими показаниями. Недействительными считаются результаты любой проверки, проведенной с грубыми нарушениями (ст. 20 закона №294-ФЗ).

7 грубых нарушений процедуры проверки

  1. Отсутствие реальных оснований для проведения проверки.
  2. Привлечение экспертов, не аккредитованных в установленном порядке.
  3. Нарушение срока уведомления о предстоящей проверке.
  4. Проведение внеплановой выездной проверки по анонимным обращениям.
  5. Нарушение продолжительности проверки (не более 50 часов в год для малого предприятия, не более 15 часов в год для микропредприятия).
  6. Запрос документов, не имеющих отношения к предмету проверки.
  7. Непредставление итогового акта в письменном виде.

После того, как вступили в законную силу поправки в статью 13.11 КоАП РФ, значительно повышающие размер штрафа за нарушения при обработке персональных данных, многие компании пересмотрели политику сбора, хранения и учета сведений личного характера. Юристы прогнозируют рост количества судебных исков, связанных с защитой прав операторов при проведении надзорных мероприятий.

Где публикуется реестр проверок Роскомнадзора

Можно заранее узнать, нагрянет ли с визитом Роскомнадзор: плановые проверки утверждаются заранее, а график их проведения публикуется на сайте ведомства. Как и другие открытые данные, которые размещает Роскомнадзор, план проверок на 2020 год можно скачать. По статистике, на долю коммерческих предприятий приходится более 60% проверок. Согласно критериям, которые применяет Роскомнадзор, график проверок может включать как организации, подавшие уведомление об обработке персональных данных в реестр операторов, так и тех, кто уведомление не подавал. Узнайте, где скачать унифицированный бланк уведомления, как правильно его оформить и в каких случаях без него не обойтись:

Вопрос-ответ от эксперта «Системы Кадры»

Как уведомить Роскомнадзор о начале обработки персональных данных сотрудников

Рассказывает Нина Ковязина, заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России

Да начала обработки персональных данных сотрудников работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку. Исключение составляют случаи обработки персональных данных, обрабатываемых в соответствии с трудовым законодательством, сделанных сотрудниками общедоступными, полученных организацией в связи с….

Читать полный ответ эксперта

Внимание! Чтобы узнать, внесена ли конкретная организации в общий реестр операторов, внесите в поисковую форму наименование, ИНН и регистрационный номер компании.

Как подготовиться к проверке в 2020 году: 3 шага

Шаг 1. Проверьте условия хранения электронных и бумажных носителей, содержащих персональные данные. Базы для хранения электронных данных должны иметь многоуровневую систему защиты, сейфы и шкафы для хранения документов — устанавливаться в помещениях ограниченного доступа и снабжаться надежными замками.

Шаг 2. Убедитесь, что на предприятии разработаны все необходимые локальные нормативные акты, ведутся учетные журналы, налажен контроль доступа к персональным данным сотрудников.

Шаг 3. Ознакомьте персонал под подпись с положением о защите персональных данных и другими внутрикорпоративными документами, регулирующими данную сферу. Назначьте ответственного сотрудника письменным приказом:

Положение о работе с персональными данными работников

Собирайте персональные данные только в служебных целях. Если в ходе проверки выяснится, что в личных делах сотрудников хранятся копии или оригиналы документов, не связанных с работой, избежать штрафа будет очень непросто. Поэтому лучше заранее провести аудит личных дел и убрать из них справки о составе семьи и другие документы, которые в настоящий момент не используются для оформления кадровых процедур.

Вывод

Штрафы за нарушения при сборе, обработке и хранении персональных данных выросли. Чтобы не рисковать бюджетом и репутацией компании, заранее подготовьтесь к возможной проверке Роскомнадзора. Узнайте, внесен ли работодатель в реестр операторов ПД и график проверок на текущий год. Проведите аудит личных дел и локальных актов, устанавливающих правила работы с персональными данными, убедитесь в надежности применяемых средств защиты информации.