Проверки роскомнадзора на 2021 год
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Проверки роскомнадзора на 2021 год». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
- Виды проверок
- Что проверяет Роскомнадзор
- Как подготовиться к проверке Роскомнадзора
- Как проходит проверка Роскомнадзора
- Советы предпринимателям
План проверок Роскомнадзора на 2021 год
В рамках масштабной реформы сферы контрольно-надзорной деятельности принят Федеральный закон от 31.07.2020 № 248-ФЗ, устанавливающий новый порядок организации и осуществления государственного и муниципального контроля (далее – Закон № 248-ФЗ). Под государственным и муниципальным контролем (надзором) в Законе № 248-ФЗ понимается деятельность контрольных (надзорных) органов, целью которой является предупреждение, выявление и пресечение нарушений обязательных требований. Достигается это за счет профилактики нарушений, оценки соблюдения гражданами и организациями обязательных требований, выявления нарушений, их пресечения и устранения последствий допущенных нарушений.
Закон разграничивает полномочия органов государственной власти РФ, органов государственной власти субъектов РФ и органов местного самоуправления в сфере государственного и муниципального контроля (надзора). Кроме того, закон определяет права и обязанности контролеров и лиц, в отношении которых проводятся проверки. Цель закона – устранение недостатков действующих норм, регулирующих сферу проверок, а также снижение количества проверок бизнеса в качестве наиболее затратного способа контроля.
Переняв некоторые положения из действующего ныне федерального закона от 26.12.2008 № 294-ФЗ (далее – Закон № 294-ФЗ), новый закон вносит ряд нововведений, которые будут рассмотрены ниже.
- Курсы повышения квалификации
- Семинары
- Выездное обучение
- Условия обучения
- Материалы для обучения
- Расписание
План проведения плановых проверок на 2021 год
Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.
СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.
Роскомнадзор осуществляет контроль над следующими направлениями:
- Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
- Системы, осуществляющие обработку данных (ПК и программы).
- Наличие локальных нормативных актов.
- Исполнение положений этих актов.
- Сайт организации.
Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.
Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.
Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.
Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:
- Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
- Проверка соответствия деятельности информации, прописанной в едином реестре.
- Назначение лица, ответственного за работу с ПД.
- Составление Политики фирмы в отношении обработки ПД.
- Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
- Проверка правильности хранения документов, ограниченности доступа к ним.
- Проверка системы безопасности: наличие замков и сейфов.
Для подготовки бумаг можно использовать специальные онлайн-сервисы.
Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.
Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.
Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.
Как проводится проверка Роскомнадзора
В соответствие с Положением о Роскомнадзоре (постановление Правительства №228 от 16.03.2009 года), Служба осуществляет контроль и надзор деятельности операторов персональных данных в части выполнения ними требований действующего законодательства.
Оператор персональных данных (ОПД) – любая организация, ИП, физлицо, федеральных или муниципальный орган власти, который каким-либо образом взаимодействует с личной (персональной) информацией третьих лиц.
В состав персональной информации включаются:
- паспортные данные;
- ИНН;
- место проживания;
- информация о составе семьи;
- данные о фактическом местонахождении;
- банковские реквизиты;
- личная информация из автобиографии.
Таким образом, Роскомнадзор вправе проверить:
- любого работодателя, который консолидирует личную информацию о сотрудниках;
- компанию сферы ИТ, которая занимается обработкой персональных данных пользователя;
- фирму, которая собирает заявки от клиентов путем анкетирования (в том числе через интернет-сайт или электронную почту).
Порядком предусмотрено проведение Роскомнадзором как плановых, так и внеплановых проверок. Плановые проверки осуществляются согласно утвержденному графику. Внеплановые проверки могут проводится на основании жалоб, поступивших в Роскомнадзор в части нарушения ОПД требований действующего законодательства.
Служба вправе проводить внеплановые проверки ОПД на основании жалоб, поступивших от сотрудников, клиентов, третьих лиц в части нарушения оператором персональных требованиям действующего законодательства. На основании жалобы руководитель органа Роскомнадзора издает распоряжение о проведении внеплановой проверки организации (ИП), копия которого направляется ОПД вместе с уведомлением о предстоящем контрольном мероприятии.
В ходе проверки Роскомнадзор подтверждает либо опровергает факты правонарушений, допущение ОПД в части сбора, хранения, обработки персональных данных и отраженные в жалобе. Выявленные нарушения инспектор Роскомнадзора отражает в акте проверки, после чего выдает ОПД предписании об их устранении в установленный срок.
Перед визитом инспекторов проведите самостоятельную внутреннюю ревизию предприятия, а именно:
- проверьте условия хранения документов с персональными данными (наличие сейфов, изолированных помещений с ограниченным доступом);
- проконтролируйте соблюдение установленных требований сотрудниками, которые, согласно должностным инструкциям, работают с персональными данными;
- с помощью ответственного сотрудника ИТ-службы проанализируйте безопасность хранения персональных данных в электронных базах, а также корректность их сбора на сайте либо через электронную почту.
Уделите внимание прочим аспектам работы с персональной информацией, имеющим место в Вашей компании. К примеру, если фирма анкетирует клиентов через интернет-сайт, то на портале должно содержаться уведомление о согласии клиентов на обработку полученных данных.
GDPR может применяться к российским компаниям в нескольких случаях:
- Российская компания имеет филиалы на территории Европы.
- Российская компания действует по поручению европейской компании и отвечает перед ней за обработку персональных данных.
- Российская компания работает не только на территории России, но и направлена на европейского потребителя. Например, интернет-магазин предлагает продажу товаров в Европу, при этом одновременно выполняются два условия:
- сайт доступен на языках стран ЕС;
- предусмотрены расчеты в евро.
Если одно из этих условий не выполняется, то требования GDPR на такой магазин не распространяются.
Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2021 года.
Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.
Паспорт — это носитель биометрических персональных данных. Для получения копии документа согласия, предусмотренного ч. 4 ст. 9 ФЗ № 152 не требуется. Но должно быть получено согласие, которое отвечает требованиям ч. 1 ст. 9 Закона: согласие должно быть информированным, конкретным и сознательным.
Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.
Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.
Такие идентификаторы как ИНН, СНИЛС, электронная почта и т.п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.
Даже без дополнительной информации идентификаторы являются персональными данными.
Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или кукис, то в совокупности эта информация является персональными данными.
Комбинация: фамилия, имя и телефон — персональные данные.
Но отдельно номер телефона – не персональные данные, т.к он относится не к пользователю, а к абонентскому устройству.
Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”
Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.
Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.
Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.
Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя. По мнению Роскомнадзора такой набор информации является персональными данными, поскольку на его анализе осуществляется подготовка маркетинговых предложений. И дальнейшее использование этих данных в рекламе должно осуществляться в соответствии со ст. 15 Закона “О персональных данных” и предполагает согласие на обработку персональных данных
Оценка поведений и личных качеств работников, например, при проведении психологических тестов, представляет собой некую модель профилирования физического лица на основании которой вырабатываются рекомендации: о занятости, приеме или отказе в приеме на работу, на замещение вакантной должности. Для проведения профилирования необходимо получать согласие на обработку персональных данных.
Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.
Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.
Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.
Роскомнадзор потратит сотни миллионов на проверку всех сотовых абонентов России
- Правовые основы деятельности
- Нормативные акты
- Постановления Европейского Суда по правам человека
- Судебная практика
- Конституционный Суд
- Верховный Суд
- Научно-методические материалы
- По вопросам надзора за исполнением федерального законодательства
- По иным вопросам надзорной деятельности
- Статистические данные
- Об использовании выделяемых бюджетных средств
- О деятельности органов прокуратуры
- Новости
- Основные документы
- Главное управление международно-правового сотрудничества
- Региональное представительство
Международной ассоциации прокуроров в России
- Новости Генеральной прокуратуры России
- Новости прокуратур субъектов федерации
- События Генеральной прокуратуры
- Мероприятия и встречи
- Интервью и выступления
- Печатные издания
- Видео
- К сведению СМИ
- Инфографика
- Конкурс
- Участие в конкурсе
- Этапы конкурса
- Итоги конкурса
- Аккредитация СМИ
- Информационные материалы
- Социальные ролики
- Наглядные материалы
- Прокурор разъясняет
- Порядок обращения граждан
- График приема
- Интернет приемная
- Уведомления об экстремизме
- Статусы уведомлений
- Прямая линия для предпринимателей
Генеральная прокуратура Российской Федерации. 02 декабря 2020, 11:24
Правительством Российской Федерации принято постановление от 30.11.2020 № 1969 «Об особенностях формирования ежегодных планов проведения плановых проверок юридических лиц и индивидуальных предпринимателей на 2021 год, проведения проверок в 2021 году и внесении изменений в пункт 7 Правил подготовки органами государственного контроля (надзора) и органами муниципального контроля ежегодных планов проведения плановых проверок юридических лиц и индивидуальных предпринимателей». Документом установлен запрет на проведение большинства плановых проверок в отношении субъектов малого предпринимательства.
Принятию указанного решения предшествовало обращение Генпрокурора Игоря Краснова о необходимости поддержки бизнеса в условиях распространения коронавирусной инфекции путем снижения административного давления со стороны контрольно-надзорных органов.
В целях недопущения фактов необоснованного вмешательства в предпринимательскую деятельность прокурорам предстоит оперативно исключить соответствующие мероприятия из сводного плана проведения плановых проверок на 2021 год.
Вопрос законности планирования контрольно-надзорных мероприятий остается на контроле Генеральной прокуратуры Российской Федерации.
— В 2020 году количество проверок бизнеса сократилось вдвое (на 51,4%) — частично благодаря мораторию на плановый контроль малых предприятий, частично из-за пандемии. Чего предпринимателям ждать в 2021 году?
— Если жить в парадигме, что число проверок имеет значение, то их число однозначно вырастет. В 2020-м ведомства и службы проводили намного меньше контрольных мероприятий, и в 2021 году они планируют начать потихоньку наверстывать упущенное: не потому что руки чешутся, а потому что уже действительно пора сходить и посмотреть на некоторые объекты. То есть существует отложенный спрос.
— Какие нововведения появятся в МФЦ в 2021 году?
— Оплата госпошлин по QR-коду. Это экспериментальный проект, сейчас идет только в Липецкой области, но мы надеемся, что в 2021 году он распространится на всю Россию. Суть «пилота» в том, что гражданин, приходя в центр «Мои документы», получает квитанцию с QR-кодом для оплаты. Далее с помощью мобильного приложения «Госуслуги» он его сканирует и вносит данные банковской карты, чтобы списались средства. Для нас важно, чтобы в центрах госуслуг была возможность заплатить, причем быстро и без бюрократизма, тем более что многие уже привыкли проводить моментальные трансакции с помощью карты или мобильного телефона.
Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.
В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.
Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.
Качественная реформа госнадзора началась ещё год назад, когда тогдашний премьер-министр Дмитрий Медведев объявил старт «регуляторной гильотины». Для начала разработали новый законопроект о госконтроле, который создал новую систему надзора и установил единые правила проверок во всех отраслях. Основными приоритетами стали профилактика нарушений и риск-ориентированный подход. «Приоритетной задачей контролёра станет профилактика, а не поиск нарушений и сбор штрафов», — пояснял Максим Орешкин, возглавлявший тогда Министерство экономического развития.
В ряде случаев выездную проверку могут заменить инспекционным визитом, говорится в проекте постановления. Такое решение надзорные органы смогут принять не позднее, чем за 20 дней до дня ревизии.
Инспекционный визит отличается от выездной проверки сроками и набором контрольных мероприятий. Так, визит длится всего один день, и инспектор может провести только осмотр, опрос, инструментальное обследование, а также запросить письменные объяснения и истребовать документы. А во время выездной проверки могут проводиться также досмотр, отбор проб и образцов, испытание, экспертиза и эксперимент.
По закону, о грядущем инспекционном визите предпринимателей не должны извещать, тогда как выездную проверку предваряют уведомлением. Однако если проверку решили заменить на визит, инспекторы обязаны уведомить об этом предпринимателя.
Плановые проверки в 2021 году не коснутся субъектов малого бизнеса, установлено в проекте постановления. Но есть исключения.
- Инспекторы могут прийти на предприятия, которым присвоена категория высокого или чрезвычайно высокого риска, либо I или II класс опасности. Это касается также производственных объектов и гидротехнических сооружений и производств, где действует режим постоянного госконтроля.
- Плановые проверки сохранят для предприятий, работающих в социальной сфере, здравоохранении, образовании, теплоснабжении и энергетике. Не отменят проверки и для бизнеса, работающего с драгоценными металлами и камнями.
- Не забудут проверить малые предприятия, совершившие административное нарушение, за которое суд назначил дисквалификацию, временную приостановку работы или действия лицензии.
- Плановые проверки не отменят для компаний, чья деятельность подлежит лицензированию.
- Контроль не ослабят за малым бизнесом в сфере гособоронзаказа и атомной энергетики, а также при контроле защиты гостайны и проверке качества работы аудиторских организаций.
Согласно новому закону, инспекторы могут проводить дистанционным способом только инспекционные визиты и выездные проверки. Согласно проекту постановления, такой формат ревизоры смогут применять в 2021 году.
Многие виды проверок и до этого проводили в удалённом режиме, отмечал первый зампредседателя Комитета Госдумы по экономической политике, промышленности, инновационному развитию и предпринимательству Валерий Гартунг. Во-первых, без присутствия на предприятии инспекторы могут проверять документы. «Налоговая служба, к примеру, их уже давно проводит в электронном формате», — сказал он «Парламентской газете».
Есть возможности и для дистанционного проведения испытаний и замеров, добавил депутат. «Если у предприятия есть сертифицированная лаборатория, она может провести все испытания, зафиксировать их на видео или фото, а затем выслать результаты инспектору. Никаких проблем нет, это всё уже отработано», — убеждён Гартунг.
Что проверяет Роскомнадзор при плановой проверке
ЗВОНИТЕ В ЕКАТЕРИНБУРГЕ +7 (343) 383-59-64
Чем мы можем Вам помочь?
Что проверяет Роскомнадзор, какие организации подлежат проверке с его стороны, каким образом осуществляются проверки, какими полномочиями наделены проверяющие, какие сведения и документы они вправе истребовать — все эти вопросы подробно рассмотрим в статье.
Сферы деятельности юридических лиц и ИП, надзор в которых осуществляет Роскомнадзор, перечислены в п. 5 положения, утвержденного постановлением Правительства РФ «О Федеральной…» от 16.03.2009 № 228. В соответствии с ним Роскомнадзор проводит проверки за соблюдением законодательства в различных сферах, в частности, таких как:
- деятельность средств массовой информации, телеканалов, периодических печатных, электронных и других изданий;
- информатизация и защита информации;
- организация и работа радио и телевещания;
- связь и массовые коммуникации;
- организация и деятельность почтовых операторов;
- обработка и защита персональных данных граждан.
Исходя из перечня сфер, подведомственных Роскомнадору, можно определить круг организаций и ИП, к которым его сотрудники могут прийти с проверкой. Это:
- средства массовой информации (редакции газет, журналов, теле- и радиокомпании, электронные СМИ);
- операторы связи (ТВ, радио и т. д.);
- интернет-провайдеры;
- организации, оказывающие почтовые услуги, и т. д.
Важно! Помимо профильного надзора в подведомственных сферах, Роскомнадзор имеет право проверять всех операторов персональных данных. Таковыми в силу требований пп. 2 и 3 ч. 1 ст. 3 закона «О персональных данных» от 27.07.2006 № 152-ФЗ являются любые организации и ИП, которые в ходе своей деятельности обрабатывают, используют, собирают, хранят личные данные граждан.
Получается, объектом проверки Роскомнадзора может стать любой предприниматель или юридическое лицо, которые нанимают персонал, ведут клиентские базы или обрабатывают персональные данные граждан в других целях.
Проверки Роскомнадзора, согласно ст. 9 и 10 закона «О защите…» от 26.12.2008 № 294-ФЗ, могут быть плановыми и внеплановыми. Каждая из них, в свою очередь, может быть документарной или выездной.
Основная цель плановой проверки — соблюдение законодательства в подведомственной Роскомнадзору сфере. Роскомнадзор проводит плановые проверки с применением специальных проверочных листов. Проверочные листы для каждой подведомственной сферы утверждаются нормативными актами Роскомнадзора.
Проверочный лист, помимо обязательных для него реквизитов (даты проверки, номера, места проведения, наименования организации, в отношении которой проводится проверка, данных об основании проверки и проверяющих сотрудниках), содержит набор вопросов, которые должны быть заданы представителям проверяемой организации. Исходя из ответов или документов, которые есть в организации, проверяющие ставят напротив каждого вопроса ответ «да» либо «нет» в зависимости от того, выполнены обозначенные в вопросе требования или нет.
Для справки! Организация, согласно ч. 12 ст. 9 закона № 294, должна быть письменно уведомлена о предстоящей плановой проверке как минимум за 3 рабочих дня до ее начала. Кроме того, о предстоящей проверке можно узнать на сайте Генпрокуратуры РФ. Там публикуется ежегодный сводный план проверок, публикация проводится в срок до 31 декабря предшествующего проверке года.
Периодичность плановых проверок по общему правилу не может превышать 1 раза в 3 года.
В отличие от плановой, внеплановая проверка проводится не периодически, а при необходимости, если есть основания, предусмотренные ч. 2 ст. 10 закона № 294. Например, при поступлении жалоб на действия организации, с целью проверки, устранены ли ранее выявленные нарушения, и т. д.
Проверочные листы Роскомнадзора в ходе внеплановой проверки не используются. А основная задача внепланового рейда — проверка конкретных фактов, например обозначенных в жалобах граждан, а также выяснение, устранены ранее выявленные недочеты или нет.
Важно! О проведении внеплановой проверки проверяемая организация должна быть уведомлена минимум за сутки до визита проверяющих сотрудников согласно ч. 16 ст. 10 закона № 294.
Согласно ч. 1 ст. 14 закона № 294 обязательным условием для начала проверки является издание руководством территориального органа Роскомнадзора соответствующего приказа. Перечень требований к данному приказу обозначен в ч. 2 ст. 14 закона № 294. В приказе о проведении проверки должен быть указан исчерпывающий перечень документов, которые организации нужно представить для достижения цели проверки.
Для справки! В законодательстве нет конкретного перечня документов, которые вправе истребовать проверяющие сотрудники Роскомнадзора, или ограничений по истребованию отдельных видов документов. Поэтому в рамках проверки может быть запрошен любой документ (кроме уже имеющихся в Роскомнадзоре), но только в пределах проверяемых Роскомнадзором направлений.
В то же время порядок истребования документов установлен достаточно подробно и выглядит он следующим образом:
- согласно чч. 4 и 5 ст. 11 закона № 294 Роскомнадзор должен направить в проверяемую организацию письменный запрос и копию приказа о проведении проверки с указанием списка всех необходимых документов;
- после получения такого запроса организация должна в течение 10 дней направить заверенные ее руководителем копии указанных документов.
Важно! Копии документов можно отправить как по почте, так и в электронном виде, заверив их усиленной ЭЦП, если такая возможность есть у организации.
В свою очередь, Роскомнадзору запрещается запрашивать оригиналы документов или требовать их нотариального удостоверения.
В случае если при проверке представленных документов обнаружатся противоречия между ними, Роскомнадзор может назначить выездную проверку.
В ходе выездной проверки сотрудники Роскомнадзора имеют право знакомиться с документами, получать их копии. В то же время истребовать документы, которые есть в распоряжении Роскомнадзора или иных государственных органов, согласно п. 8 ст. 15 закона № 294, проверяющие не вправе.
Если проверка была проведена с грубыми нарушениями, то ее результаты не могут быть доказательством нарушения и могут быть отменены вышестоящим органом государственного контроля (надзора) или судом на основании заявления проверяемой стороны (ст. 20 Закона 294-ФЗ).
Грубыми нарушениями являются:
– Отсутствие оснований для проведения плановой проверки (проверка проводится не чаще, чем один раз в два года, на основании разрабатываемых органами контроля ежегодных планов).
– Привлечение в качестве экспертных организаций (экспертов) к проведению мероприятий по контролю не аккредитованных в установленном порядке юридических лиц, индивидуальных предпринимателей и не аттестованных в установленном порядке граждан.
– Нарушение сроков уведомления проведения плановой проверки ЮЛ или ИП (не позднее чем в течение трех рабочих дней до начала должна быть направлена копия распоряжения или приказа о начале проведения плановой проверки заказным письмом с уведомлением о вручении или иным способом).
– Нарушение сроков уведомления проведения внеплановой проверки ЮЛ или ИП (уведомляются не менее чем за 24 часа до начала любым доступным способом, исключение – внеплановая выездная проверка).
– Отсутствие оснований проведения внеплановой выездной проверки. Основаниями являются обращения и заявления, информация, полученная от органов государственной власти / местного самоуправления или из СМИ, о следующих фактах: причинение или возникновение угрозы причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, безопасности государства, а также угрозы чрезвычайных ситуаций природного и техногенного характера. Кроме того, не являются основаниями для проведения внеплановой выездной проверки обращения и заявления, не позволяющие установить обратившееся лицо, а также заявления, не содержащие сведений об указанных фактах.
– Отсутствие согласования с органами прокуратуры внеплановой выездной проверки в отношении юридического лица или ИП.
– Нарушение сроков и времени проведения проверок в отношении субъектов малого предпринимательства (срок проведения плановой выездной проверки не может превышать 50 часов для предприятия штатом до 100 человек и 15 часов для предприятия штатом до 15 человек в год).
– Проведение проверки без распоряжения или приказа руководителя, заместителя руководителя органа государственного контроля (надзора), органа муниципального контроля.
– Требование документов, не относящихся к предмету проверки.
– Непредставление акта проверки.
Результаты проверки и другие действия инспекторов Управления Роскомнадзора могут быть обжалованы как в вышестоящем органе (Федеральной службе), так и в прокуратуре и суде.
Вот один из ярких примеров обнаружения нарушений и последствия для проверяющих: Управление Генеральной прокуратуры Российской Федерации в Центральном федеральном округе в ходе проверки выявило нарушения в деятельности Управления Роскомнадзора по ЦФО (далее – Управление).
Установлено, что должностные лица Управления не всегда исполняли требования ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». В частности, они допускали нарушения при уведомлении юридических лиц о проверках, оформлении их результатов, а также ознакомлении уполномоченных представителей юридического лица с актами проверок.
Выявлены случаи составления в один день, в одно и то же время и одними и теми же должностными лицами Управления актов плановых выездных проверок нескольких организаций, расположенных по различным адресам.
Кроме того, установлены нарушения требований ФЗ «О государственной гражданской службе Российской Федерации» при представлении сотрудниками Управления сведений о доходах, об имуществе и обязательствах имущественного характера.
По результатам проверки заместитель Генерального прокурора РФ Владимир Малиновский внес представление на имя и. о. руководителя Управления Роскомнадзора по ЦФО Александра Дорошева, в котором потребовал устранить выявленные нарушения закона.
На противоречащие требованиям федерального законодательства нормативные акты Управления принесены протесты.
Если проверка прошла без нарушений со стороны Роскомнадзора, но выявлены нарушения с вашей стороны, то вам стоит знать, что за нарушение законодательства о персональных данных предусмотрена как административная, так и уголовная ответственность.
Начнем, пожалуй, с административной. В таблице ниже вы можете ознакомиться с нарушениями и наказаниями, следующими за ними.
Инспекционные визиты: как ФНС обойдет мораторий на проверки в 2021 году
Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:
- уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
- уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
- персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).
Стоит заметить, что и здесь есть подводные камни. Например, сейчас многие организации, особенно государственные, реализуют зарплатные проекты по перечислению кровнозаработанных рублей сотрудникам прямиком на банковские карты. Это очень удобно и для работодателей и для сотрудников, и банку тоже выгодно. Но при осуществлении такого проекта, как ни крути, приходится передавать данные своих сотрудников в банк. И такая передача персональных данных третьим лицам уже не регламентируется трудовым законодательством, а значит, первое исключение из списка выше не работает, следовательно, нужно подавать уведомление об обработке персональных данных в Роскомнадзор.
Итак, первым делом перед специалистом, которому поручили подготовиться к грядущей проверке встает вопрос – а какие вообще документы нужны. Специалист обращается к законодательству и… Не находит практически ничего полезного. Ну не то чтобы прям совсем ничего. Да, наверное, специалист наткнется на постановление Правительства РФ от 21.02.2012 №211 и скажет: «Вот, вы были не правы, вот, есть же список документов!». Да, есть. Только специалиста здесь ждет своего рода ловушка. Если обзавестись только документами из этого списка, организация получит предписание по итогам проверки, потому что список не перекрывает и малой части требований законодательства. Плюс в списке встречаются такие несуразности как, например, необходимость отдельно утверждать перечень ИСПДн. Зачем для этого делать отдельный документ, когда можно перечислить ИСПДн в «Положении об обработке и защите ИСПДн» или в «Политике информационной безопасности» — непонятно. Ну и наконец, постановление №211 относится только к государственным и муниципальным органам, поэтому к большинству операторов ПДн – не применимо. И, кстати, в нашем наборе документов по постановлению 211 нет, так как большинство вопросов итак учтены в других документах.
Хорошо, давайте посмотрим, что там у нас есть еще в законодательстве.
В федеральном законе «О персональных данных» напрямую говорится только о необходимости разработки «Модели угроз безопасности» (хотя «напрямую» тоже не совсем верно сказано, в законе написано, что нужно определять угрозы безопасности ПДн) и о публикации «Политики в отношении обработки персональных данных».
О процессе разработки Модели угроз мы, возможно, также подробнее напишем в одной из последующих статей.
Все остальное описано неоднозначно, примерно в таком духе:
Оператор обязан принимать меры… К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
…
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
- 27 октября 2008 г.
-
- Сутки
- Неделя
- Месяц
В постановлении написано, как будут проверять операторов персональных данных. Операторы персональных данных — это люди, предприниматели и компании, которые получают, хранят и обрабатывают информацию о других людях. Например, о своих клиентах и работниках. Для них есть специальный закон. А теперь еще и правила проверок.
Похожие записи: