Найти тему
2,6K подписчиков

Проверка Роскомнадзора: как подготовиться работодателю

Общество
6,1M интересуются
Мой Новосибирск
131K интересуются
Летняя рыбалка
272,8K интересуются
Мой Ростов-на-Дону
425,1K интересуются
Мой Краснодар
189,4K интересуются
Канье Уэст
354,8K интересуются
Рестораны Казань
35,3K интересуются
Специальная военная операция
870,4K интересуются
Мой Белгород
98,9K интересуются
Веранды и рестораны СПБ
153,6K интересуются
Илон Маск
522,2K интересуются
Происшествия
195,9K интересуются
Летняя Москва
258K интересуются
Милош Бикович
138,2K интересуются
Такер Карлсон
319,4K интересуются
Веранды и рестораны Сочи
98,8K интересуются
Мой Екатеринбург
207,1K интересуются
Моя Казань
379,8K интересуются
Рыболовные снасти
1M интересуются
Эксклюзивно в Дзене
151K интересуются
На какие документы опираться работодателю Материал подготовлен на основе вебинара Марии Финатовой «Инспекционные проверки Роскомнадзора: как пройти успешно и при необходимости оспорить результаты».

На какие документы опираться работодателю

Материал подготовлен на основе вебинара Марии Финатовой «Инспекционные проверки Роскомнадзора: как пройти успешно и при необходимости оспорить результаты».В первую очередь необходимо определить, какие нормативно-правовые акты распространяются на вашу организацию. Единого перечня нет. Все зависит от того, чьи персональные данные вы обрабатываете, и от типа самой информации.

Шпаргалку с основными нормативными актами, которые определяют работу с персональными данными и регулируют проведение проверок, вы можете скачать в конце статьи.

[ArticleMaterials=2057]

К владельцам персональных данных относятся:

  • работники;
  • соискатели;
  • члены семьи и родственники работников;
  • третьи лица, с кем заключаются гражданско-правовые договоры;
  • иные физические лица, чьи данные вы обрабатываете как оператор персональных данных.

Записаться на семинарРабота с персональными даннымиЭкспертный разбор законодательных изменений

Важна и сама обрабатываемая информация. Например, вы имеете дело с биометрическими данными: дактилоскопическими отпечатками пальцев, радужной оболочкой глаза, размером обуви и одежды, фото- или видеоизображениями, — вам придется изучить дополнительные нормативные акты, которые определяют порядок работы с биометрией: как хранить такие данные, на каких носителях, как их защищать и пр.

Что проверяет Роскомнадзор

Постановка на учет

Каждая новая организация должна подать в органы Роскомнадзора информацию о том, чем она занимается, какие данные обрабатывает и кто из сотрудников несет ответственность за эту сферу (ст. 22 Закона от 27.07.2006 № 153-ФЗ). Таким образом, Роскомнадзор на начальном этапе уже имеет представление о том, какие данные вы обрабатываете, и исходя из этого, ведомство принимает решение, когда к вам прийти с проверкой.

Обратите внимание: с 1 сентября 2022 года перечень исключений, при которых можно не вставать на учет в органах Роскомнадзора, был скорректирован. Сейчас есть только три основания — исключения, когда можно не уведомлять Роскомнадзор. К ним относятся:

  • обработка персональных данных, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • обработка персональных данных в случае, если оператор обрабатывает их исключительно без средств автоматизации;
  • обработка персональных данных в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, а также защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

При направлении уведомления в Роскомнадзор необходимо для каждой цели обработки персональных данных указать:

  • категории персональных данных;
  • категории субъектов, персональные данных которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий с персональных данных;
  • способы обработки персональных данных.

Не стоит думать, что незарегистрированные компании останутся без внимания инспекторов. Как раз наоборот: к ним у ведомства повышенный интерес. А после сентябрьских изменений это касается практически всех компаний.

Как проверить, стоит ли организация на учетеЗайдите на сайт Роскомнадзора, в боковом меню в разделе «Реестр операторов» выберите пункт «Реестр». Внесите в открывшуюся форму название или ИНН организации. Если в результатах поиска нет вашей компании, значит, она не стоит на учете в Роскомнадзоре.

Ответственный за организацию работы с персональными данными

В крупных компаниях таких сотрудников может быть несколько. В небольших компаниях работу с персональными данными может вести руководитель службы безопасности или директор по персоналу. Это решает сам работодатель. Зависимости от формы собственности организации или количества сотрудников нет. Важно определить, что конкретно делает этот человек исходя из требований законодательства. Именно он и будет представлять интересы компании при проверках Роскомнадзора.

О том, как работать с персональными данными, читайте в интервью Марии Финатовой.

Внутренняя политика по персональным данным

Внутренняя политика по организации обработки персональных данных — обязательный документ для всех работодателей как операторов персональных данных (ст. 18.1 Закона № ФЗ-152). Политика описывает общий порядок: какие категории персональных данных обрабатываете, что вы с ними делаете и кому передаете.

Напоминаем, что с 1 сентября 2022 года в политике для каждой цели обработки персональных данных необходимо указать категории и перечень обрабатываемых данных, категории субъектов, чьи данные обрабатываются, способы, сроки обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

Такие же требования касаются и локальных нормативных актов по персональным данным. В них также необходимо указать все перечисленные условия под все цели обработки персональных данных.

Ключевое условие для политики в отношении обработки персональных данных — размещение документа на сайте компании, если у нее есть сайт. Если сайта нет, то в открытом доступе, например при входе в офис, чтобы любой желающий мог прочитать.

Локальные нормативные акты

Это те документы, которые содержат конкретные правила и условия работы:

  • какие данные обрабатываются и с какой целью,
  • кто субъекты персональных данных в компании,
  • куда персональные данные передаются,
  • какие информационные системы используются,
  • как обеспечивается защита информационных систем,
  • какой класс присваивается информационной системе,
  • как хранятся документы, содержащие персональные данные,
  • как осуществляется сбор персональных данных,
  • как уничтожаются персональные данные и пр.

Таких документов может быть несколько, например, для каждого вида информации — свой. Все зависит от внутренней системы документооборота. Главное, чтобы все эти ЛНА определяли порядок и обозначали цель обработки информации. Ознакомьте сотрудников с теми документами, которые на них распространяются.

Один из самых важных документов при проверке — согласие на обработку персональных данных. Требования к содержанию, составу и форме согласия установлены ст. 9 Закона № 152-ФЗ. Как показывает практика, работодатели далеко не все и не всегда при оформлении получают согласие на обработку персональных данных. А штраф придется платить за каждое неоформленное или неверно оформленное согласие.

Важно на практике соблюдать цель обработки информации, которая указана в согласии. Работать с личной информацией другого человека можно:

  • в соответствии с требованиями действующего законодательства — согласия не нужно;
  • для достижения целей, которые ставит для себя работодатель как оператор персональных данных, — согласие обязательно.
Пример. Чтобы заключить трудовой договор не нужны ИНН, телефон, адрес проживания человека (ст. 57 ТК РФ), но работодатели чаще всего запрашивают эту информацию. Для чего, если по закону они не нужны? Для достижения своих внутренних целей: поздравлять с днями рождения, использовать в документах, делать визитки и пр. Речи об этом в законодательстве не идет, поэтому вы обязаны взять с сотрудника согласие, в котором будут указаны конкретные цели использования дополнительных данных. На это Роскомнадзор тоже обращает внимание.

Напоминаем, что согласие на обработку персональных данных должно быть не только конкретным, информированным, сознательным, но еще и предметным и однозначным. Требование появилось еще 1 сентября 2022 года.

Если организация размещает персональные данные в открытых источниках, где информация доступна неограниченному кругу лиц, необходимо от сотрудников получить согласия на распространение их персональных данных. Этот документ оформляется отдельно от согласия на обработку персональных данных.

Хранение и уничтожение персональных данных

Срок хранения информации определяет человек, когда подписывает согласие на их обработку. Работодатель обязан уничтожить персональные данные, если:

  • достигнуты цели;
  • истек срок хранения, указанный в согласии;
  • сам субъект попросил уничтожить персональные данные;
  • данные обработали неправомерно, например с другими целями.
  • субъект персональных данных отозвал согласие на обработку персональных данных полностью или частично.

В этих ситуациях вы должны уничтожить документы, содержащие персональные данные, а также данные из информационных систем и оформить акт, который защитит интересы компании перед Роскомнадзором. Формат акта законодательно не определен, но вы можете утвердить его ЛНА.

Создайте комиссию из тех сотрудников, которые будут фактически уничтожать персональные данные в информационных системах и на бумажных носителях.

Информационные системы

Посмотреть программыКурсы для кадровикаПовышение квалификации, профпереподготовка. Онлайн-тесты. Удостоверения и дипломы

Специалисты Роскомнадзора при проведении проверок имеют право исследовать информационные системы операторов персональных данных. Как правило, при проверках инспекторы действуют парами: один проверяет документы, второй — информационные системы. Специалист, который работает с электронными ресурсами, обладает достаточным опытом и уровнем подготовки, чтобы уже на старте работы за вашим компьютером увидеть, как обрабатываются данные в вашей системе, соблюдают ли сотрудники требования к безопасности, начиная с парольной политики и блокировки экрана.

Как правило, около 20% времени инспекторы уделяют проверке документов, а 80% — изучению информационных систем, потому что эти источники наиболее подвержены незаконной передаче персональных данных, утечке информации.

Правила поведения сотрудников за компьютером вы найдете в нашей шпаргалке в конце статьи.

[ArticleMaterials=2057]

Жалобы о нарушении прав субъектов персональных данных

Если в Роскомнадзор от сотрудников компании или других людей поступали подобные жалобы, инспекторы отдельно изучат:

  • проводились ли до этого проверки и какие нарушения были выявлены;
  • исправил ли их работодатель;
  • не увеличился ли масштаб нарушения, например, в прошлый раз пожаловался один человек, а сейчас нарушение касается уже всех сотрудников.

Инспектор может попросить доказать документально, что нарушение исправлено и прекращено, а не продолжает являться длящимся.

Новая обязанность оператора

Еще одна обязанность появилась у оператора персональных данных с 1 сентября 2022 года (ст. 21 ч. 3.1 Федерального закона № 152-ФЗ от 27.07.2006): если установлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента уведомить Роскомнадзор:

  • В течение 24 часов об инциденте, предполагаемых причинах и потенциальном вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента. В этот же срок надо предоставить сведения об уполномоченном сотруднике, который будет взаимодействовать с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом.
  • В течение 72 часов о результатах внутреннего расследования инцидента. Также надо предоставить сведения о лицах, чьи действия стали причиной инцидента.

Изменение и прекращение обработки персональных данных

Если вы меняете сведения, вы должны не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения, уведомить Роскомнадзор.

Если прекращаете обрабатывать персональные данные — в течение 10 рабочих дней с даты прекращения обработки.

Организация может прекратить обрабатывать персональные данные в случаях:

  • ликвидации организации;
  • прекращения деятельности в результате реорганизации;
  • аннулирования лицензии на определенный вид деятельности;
  • вступления в законную силу решения суда о прекращении организацией обработки персональных данных и др.

Вместо заключения

Узнать о плановой проверке можно двумя способами: найти план проверок на сайте Роскомнадзора или обратиться к сайту Генпрокуратуры, где публикуется сводный план по разным ведомствам. По названию организации или ИНН выпадет список инспекционных органов, которые к вам должны прийти.

Чтобы быть готовым к визиту инспекторов Роскомнадзора, необходимо:

  1. Проверить все документы по персональным данным: от регистрации в органах Роскомнадзора до согласий, положений, актов об уничтожении данных.
  2. Убедиться, что документы соответствуют требованиям законодательства. При необходимости переподписать документы с работниками и включить в них обязательные условия. Это позволит предотвратить риски, связанные с нарушениями на бумажных носителях.
  3. Проинструктировать работников и включить в ваши внутренние документы порядок поведения сотрудников, работающих с персональными данными за компьютерами и ноутбуками.