Персональные данные: новое с 2021 года, проверки Роскомнадзора
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные: новое с 2021 года, проверки Роскомнадзора». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.
Давайте подытожим, что нам нужно сделать, чтобы подготовиться к проверке РКН по вопросам выполнения законодательства в сфере защиты персональных данных и успешно ее пройти.
- Проанализировать необходимость подачи уведомления оператора ПДн. Проверить наличие уведомления, проверить корректность информации в уведомлении. Внести изменение в уведомление, при необходимости.
- Провести подробную инвентаризацию обрабатываемых персональных данных, информационных систем персональных данных, законность обработки различных персональных данных, технологические процессы обработки персональных данных и т. д. Эта информация нам понадобится при разработке документов.
- Назначить ответственных.
- Разработать комплект документации по защите персональных данных. Документация должна быть конкретизированной в отношении определенной организации и/или определенной ИСПДн. Уделяя время разработке документации по защите и обработке ПДн в информационных системах, не забыть о регламентировании неавтоматизированной обработки ПДн.
- Опубликовать политику в отношении обработки персональных данных на сайте (хотя допускается и другой вид организации беспрепятственного доступа к документу, если вы не гос- или муниципальный орган).
- Ознакомить всех причастных сотрудников с разработанной документацией.
- Заполнить журналы.
- Проинструктировать своих сотрудников о том, что проверяющим не нужно говорить лишнего и о том, что не нужно разбрасывать документы с ПДн по всему офису.
- Вести себя корректно с проверяющими. Выразить свою готовность исправлять мелкие недочеты в процессе проверки.
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Как проверяет Роскомнадзор?
Существуют плановые и внеплановые проверки, которые проводятся как в отношении тех организаций, которые включены в реестр Роскомнадзора, так и тех, что не включены. Плановые проверки более безобидные, так как о том, что вас проверят, оповестят заранее (не позднее чем за три дня), а по внеплановым проверкам — всего за 24 часа. Роскомнадзор в конце каждого года публикует на своем сайте план проверок на следующий календарный год и проверяет в соответствии с ним.
Для организации все начинается с уведомления, которое приходит по почте России. В нем Роскомнадзор уведомляет о намерении проверить и кратко сообщает, что именно будет проверять. Также в уведомлении сообщается состав проверочной комиссии, дата и срок выездной проверки. Срок проверки обычно составляет 20 рабочих дней, но это не значит, что все 20 дней у вас будет сидеть комиссия, а говорит лишь о дедлайне проверки. Комиссия, как правило, приезжает всего 2-3 раза: первый раз — запросить документы, второй раз — забрать документы и третий раз — выдать акт о проверке с замечаниями и предписанием на устранение нарушений. Нередко сразу выписываются протоколы об административных правонарушениях.
По факту объем запрашиваемых документов и методика самой проверки сильно варьируются в зависимости от того или иного территориального управления Роскомнадзора.
Кратко порядок проверки выглядит так:
- Уведомление оператора о проведении плановой проверки путем направления копии приказа руководителя Роскомнадзора о проверке почтой России. Уведомление должно поступить оператору не позднее трех рабочих дней до начала ее проверки (при плановой проверке), что очень мало, чтобы успеть к ней подготовиться.
- Далее в указанный в уведомлении день проверки приезжает комиссия, как правило, в составе 2-3 человек для осуществления государственного контроля.
- На месте проверки комиссия запрашивает и рассматривает документы, имеющиеся у оператора «под рукой», и выдает список документов для предоставления оператором до окончания срока проверки. Непредоставление оператором запрошенных документов расценивается как несоответствие требованию закона, и выписывается штраф, а также предписание на устранение нарушений.
- По результатам рассмотрения представленных оператором к проверке документов Роскомнадзор составляет акт проверки, предписание об устранении выявленных нарушений, а также протоколы об административных нарушениях в отношении оператора.
- По окончании срока предписания об устранении выявленных нарушений назначается повторная внеплановая проверка. В случае неустранения нарушений деятельность организации приостанавливается.
В каких случаях потребуется уведомление Роскомнадзора
С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
- получаемых и обрабатываемых в рамках трудового законодательства;
- получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
- относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
- разрешенных физлицом для распространения;
- включающих в себя только фамилии, имена и отчества физлиц;
- необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.
Штрафы за неуведомление Роскомнадзора
Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).
Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.
Виды проверок соблюдения законодательства о персональных данных
Ключевые моменты в положении о проверках, которые нужно учитывать предприятиям:
- Роскомнадзор проверяет две ключевые составляющие деятельности операторов ПД (п. 7 Положения по постановлению № 1046):
- деятельность по обработке персональных данных самого оператора и третьих лиц, которые выполняют его поручения;
- результаты деятельности оператора по разработке документов и локальных нормативов, направленных на обеспечение требований по ч. 1 ст. 18.1 Закона № 152-ФЗ.
- Предусмотрены профилактические мероприятия (п. 13 Положения), контрольно-надзорные мероприятия (п. 42 Положения).
Указанная классификация основана на перечнях профилактических и контрольно-надзорных мероприятий, приведенных, соответственно, в ст. 45 и 56 Закона № 248-ФЗ. Профилактические мероприятия — это «мягкие» варианты взаимодействия регулятора и контролируемого лица, контрольно-надзорные — более «строгие». Возможно, что по итогам профилактического мероприятия будет начато контрольно-надзорное (ч. 4 ст. 45 Закона № 248-ФЗ).
- Частота и типы профилактических и контрольно-надзорных мероприятий привязаны к категории риска, присвоенной хозяйствующему субъекту (п. 10 Положения).
Предмет проверки Роскомнадзора
Сферы деятельности юридических лиц и ИП, надзор в которых осуществляет Роскомнадзор, перечислены в п. 5 положения, утвержденного постановлением Правительства РФ «О Федеральной…» от 16.03.2009 № 228. В соответствии с ним Роскомнадзор проводит проверки за соблюдением законодательства в различных сферах, в частности, таких как:
- деятельность средств массовой информации, телеканалов, периодических печатных, электронных и других изданий;
- информатизация и защита информации;
- организация и работа радио и телевещания;
- связь и массовые коммуникации;
- организация и деятельность почтовых операторов;
- обработка и защита персональных данных граждан.
Особенности проверки Роскомнадзором защиты персональных данных на предприятии
Соблюдение норм действующего законодательства является ключевой обязанностью работодателя. Если знать законодательные нормы и неукоснительно им следовать, вопрос подготовки к визиту Роскомнадзора можно свести к минимуму.
Предпринимателю не стоит паниковать, потому как у проверяющих существует свой регламент. Важно знать, что перед инспекцией представителями Роскомнадзора должно быть направлено уведомление. В нём должны содержаться сведения о нормативной базе, на которой базируется проверка, её цель, сроки и план проверочных мероприятий.
По прибытии сотрудников Роскомнадзора важно проверить их служебные удостоверения. Предприниматель также имеет право записать сведения о проверяющих в специальный журнал.
Перед выездной проверкой Роскомнадзор направляет письменный запрос, в котором указывает перечень интересующих документов. Ответить на него следует в течение 10 рабочих дней и если у проверяющих не возникнет вопросов касательно качества и полноты представленной документации, то необходимость выезда может вовсе исчезнуть. Если Роскомнадзор всё же решает провести выездную проверку, то обычно такое мероприятие длится не более 20 рабочих дней.
Итогом комплексной инспекции является специальный акт, составляемый представителями Роскомнадзора. Если на предприятии выявляются нарушения, то в него включается предписание на их устранение.
Что работодатель должен и не должен знать о работнике
В Трудовом кодексе РФ нет конкретного перечня сведений, относящихся к персональным данным работника. Равно как и нет его и в Законе «О персональных данных». В этом документе есть только их Определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
Соответственно, в законодательстве отсутствует список сведений, которые работодатель вправе собирать и хранить в отношении каждого работника.
Вместе с тем в ст. 65 ТК РФ приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу. По этим документам можно понять, какие сведения о работниках компания получает, и соответственно, имеет право обрабатывать, а каких сведений в ее распоряжении оказаться не должно.
Что у компании должно быть
Итак, при приеме на работу работодатель получает персональные данные работника, а именно:
- Ф.И.О., возраст, место жительства, семейное положение (из паспорта);
- трудовой стаж и предыдущие места работы (из трудовой книжки);
- регистрация в органах ПФР (из карточки СНИЛС);
- отношение работника к воинскому учету (из документов воинского учета);
- образование и квалификация (из дипломов, аттестатов, свидетельств об образовании);
- судимость (из справки о ее наличии или отсутствии);
- употребление наркотиков (из справки, подтверждающей или опровергающей этот факт).
Компания вправе по запросу адвоката выдать копию трудовой книжки супругу
Бывшая сотрудница подала иск к своему бывшему работодателю, потребовав признать незаконными его действия по передаче копии ее трудовой книжки адвокату ее бывшего мужа.
Адвокат использовал этот документ в качестве доказательства в процессе о взыскании алиментов.
Истица своего согласия на передачу копий трудовой книжки третьим лицам не давала.
Таким образом, компания нарушила ст. 3 закона о персональных данных и ст. 87, 88 Трудового кодекса РФ, не обеспечив сохранность ее персданных и неправомерно передав их без согласия и судебного запроса неуполномоченному лицу.
Однако суд решил, что адвокат является именно уполномоченным лицом.
Запрос был сделан на основании п. 1 ч. 3 ст. 6 Закона от 31.05.2002 № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации». Данная норма дает право собирать адвокату сведения, необходимые для оказания юрпомощи, в том числе запрашивать справки, характеристики и иные документы не только у госорганов, но и организаций. Они обязаны выдать адвокату запрошенные им документы или их заверенные копии в месячный срок со дня получения запроса адвоката.
Кроме того, в запросе адвокат указал, что сведения о трудовой деятельности ему необходимы для предъявления в суд в качестве доказательств по гражданскому делу, рассматриваемому в закрытом судебном заседании, и гарантировал соблюдение режима конфиденциальности представленных сведений.
Компания, в свою очередь, направляя копию трудовой книжки, указала в сопроводительном письме, что использовать полученные персональные данные работника он может исключительно для целей, указанных в его запросе, с соблюдением режима секретности (конфиденциальности).
Таким образом, нормы права не были нарушены.
В соответствии с п. 2 и 3 ч. 1 ст. 6 закона о персональных данных обработка персданных истца осуществлялась в целях обеспечения права на представление доказательств по гражданскому делу.
Процедура инспекции зависит от ее типа, основными являются следующие:
- Плановые. В конце года составляется график проведения инспекций на следующий период, и эта информация публикуется на официальном сайте уполномоченного органа. За три дня до начала инспекции проверяемая организация предупреждается лично или письмом.
- Внеплановые. Такие мероприятия осуществляются после поступивших жалоб. В зависимости от степени серьезности нарушения о визите инспекторов могут сообщить за сутки или вовсе не предупредить.
- Документарные. Контролирующий орган запрашивает необходимые документы, которые руководитель предприятия обязан предоставить в определенные сроки.
- Выездные. Территория организации осматривается сотрудниками уполномоченного органа.
Такие инспекции могут проводиться как Роскомнадзором, так и ФСБ.
Провеки Государственной инспекции труда
В Трудовом Кодексе РФ 14 глава называется: «Защита персональных данных работника». Государственная инспекция труда проводит контрольно-надзорные мероприятия по поводу выполнения требований всего Трудового кодекса и, соответственно, не может обойти стороной главу 14. На проверках обращают внимание на требование пункта 8 статьи 86: «работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области». Таким образом, проверяют наличие такого документа и факт ознакомления с ним всех работников.
Административная ответственность за нарушение этих требований предусмотрена статьей 5.27. КоАП — штраф в размере от 30 000 до 50 000 рублей.
Наблюдение за оператором
Проводится тайно. Не предупреждая оператора, инспекторы смотрят, какую информацию компания/человек публикует в интернете и СМИ, какие документы предоставляет в Роскомнадзор. Например, сотрудники ведомства могут изучить пользовательское соглашение или форму подписки на вашем сайте.
Работники ведомства имеют право проводить наблюдение только по заданию.
Основанием могут стать следующие события:
- Президент, правительство или руководитель федерального РКН поручили наблюдать за оператором.
- Граждане (пользователи, сотрудники) обратились с жалобой в РКН.
- В СМИ появилась информация, что оператор нарушает закон о защите персональных данных.
Если при наблюдении проверяющий выявил нарушения, то докладывает о них руководству отделения Роскомнадзора. После этого могут назначить проверку вне графика или просто сразу попросить устранить нарушения, уточнить, заблокировать или удалить недостоверные или неправомерно полученные данные. Как правило, на это дается 10 дней. Если оператор не выполнит требования, его оштрафуют.
Обязанности оператора при обработке персональных данных
Субъектам государственного и частного сектора, в чьи обязанности входит систематизация и оптимизация личностных сведений физических лиц, надлежит руководствоваться Федеральным законом № 152-ФЗ. Согласно ему, операторы обязаны:
- Вести разъяснительные беседы с гражданами и доходчиво им объяснять, для чего ПД будут использованы.
- Получать от физических лиц письменное согласие на обработку и использование личностных сведений.
- Опубликовывать правила использования и обработки ПД отдельно взятым оператором.
- Защищать личные сведения граждан от посягательств третьих лиц, а также запрещать использование и распространение информации другими субъектами.
- Уничтожать ПД по заявлению владельца, если они были обработаны с нарушениями, по мнению гражданина.