Планы и порядок проведения проверок на сайтах ведомств

Когда Роскомнадзор проводит плановые проверки

Основная деятельность Роскомназдора – это защита информации. С ней в той или иной степени работает каждое предприятие – любому работодателю нужна информация о сотрудниках, контрагентах и т.д. Чтобы эти файлы не использовались во вред их владельцам, назначается ревизия Роскомнадзора.

Контроль Роскомнадзора

Инспекции бывают четырёх видов, основная из них – плановая. Они происходят строго по графику, который можно увидеть на сайте и подготовиться к ним заранее. Частота проверок – раз в 3 года, при работе с некоторыми категориями информации проверки бывают чаще – раз в 2 года. Если организация молодая, первая встреча с проверяющими состоится только через 3 (или 2) года после открытия.

Остальные виды проверок:

• внеплановая;
• документарная – высылаются документы по списку, может быть только плановой;
• выездная – сотрудники приезжают на предприятие (планово или внепланово).

Чтобы проверить организацию, должны быть веские основания. Директор должен быть осведомлён о том, что именно послужило причиной внимания контролирующих органов.

Предмет проверки Роскомнадзора

Сферы деятельности юридических лиц и ИП, надзор в которых осуществляет Роскомнадзор, перечислены в п. 5 положения, утвержденного постановлением Правительства РФ «О Федеральной…» от 16.03.2009 № 228. В соответствии с ним Роскомнадзор проводит проверки за соблюдением законодательства в различных сферах, в частности, таких как:

Более полную информацию по теме вы можете найти в КонсультантПлюс. Полный и бесплатный доступ к системе на 2 дня.

• деятельность средств массовой информации, телеканалов, периодических печатных, электронных и других изданий;
• информатизация и защита информации;
• организация и работа радио и телевещания;
• связь и массовые коммуникации;
• организация и деятельность почтовых операторов;
• обработка и защита персональных данных граждан.

Кого проверяет Роскомнадзор

Исходя из перечня сфер, подведомственных Роскомнадору, можно определить круг организаций и ИП, к которым его сотрудники могут прийти с проверкой. Это:

• средства массовой информации (редакции газет, журналов, теле- и радиокомпании, электронные СМИ);
• операторы связи (ТВ, радио и т. д.);
• интернет-провайдеры;
• организации, оказывающие почтовые услуги, и т. д.

Важно! Помимо профильного надзора в подведомственных сферах, Роскомнадзор имеет право проверять всех операторов персональных данных. Таковыми в силу требований пп. 2 и 3 ч. 1 ст. 3 закона «О персональных данных» от 27.07.2006 № 152-ФЗ являются любые организации и ИП, которые в ходе своей деятельности обрабатывают, используют, собирают, хранят личные данные граждан.

Получается, объектом проверки Роскомнадзора может стать любой предприниматель или юридическое лицо, которые нанимают персонал, ведут клиентские базы или обрабатывают персональные данные граждан в других целях.

Проверка Роскомнадзора: как подготовиться и избежать штрафов

Что проверяет Роспотребнадзор: как часто проводятся проверки

По законодательству оператором персональных данных считается любая организация, которая взаимодействует с людьми и их документами, т.е. под это определение подпадают все предприятия, где в штате больше одного человека. Проверка касается не только юридических лиц, но и ИП, в которых есть хотя бы один наёмный сотрудник, и даже физических лиц, если они работают с чужими карточкам.

Важно! Если документы содержатся в порядке, то специальной подготовки к ревизии Роскомнадзора не потребуется.

Подготовку лучше начать с того, что изучить план проверок Роскомнадзора на 2020 год. Если в нём нет нужной организации, значит, в этом году можно не бояться. О плановой проверке дополнительно приходит предупреждение за 3 дня до неё, но на всякий случай лучше держать документы в порядке постоянно.

Персональная карточка

Проведение внутренней инспекции

Первый шаг – назначение ответственного. За обработку и безопасность персональных данных должны отвечать уполномоченные сотрудники. В зависимости от размера фирмы это может быть руководитель, бухгалтер или кадровик, который занимается этим в качестве дополнительной ответственности, либо специально нанятый для этого сотрудник или отдел.

Второй шаг – выяснение, с какими именно данными имеет дело предприятие. Ответственный за персональные данные должен знать, что именно он собирает и для чего. На основании этого руководитель составляет внутренние инструкции по работе с персональными данными и разрабатывает политику их обработки. С этими документами должны быть ознакомлены все сотрудники, для которых это важно. Последний шаг – уведомление Роскомнадзора, что предприятие работает с персональными данными людей.

Важно! Документарная проверка может быть только плановой, это основной вид инспекций для малых предприятий.

Все эти действия нужно сделать сразу, как только предприятие соберётся работать с персональными данными. Они позволят избежать обвинений в непрозрачности бизнеса, а также срочной подготовки к проверкам и бесконечных стрессов. Если документация ведётся аккуратно, то инспекция не отнимет много времени и нервов.

Сотрудники должны быть готовы

Сотрудники учреждения должны знать, кто именно отвечает за персональные данные. Ответственный должен регулярно отчитываться руководству о том, как используется информация. Также он должен обеспечить сохранность данных – бумажные документы должны лежать в сейфах с замками, а электронные – в файлах без общего доступа.

Следует предупредить сотрудников, что во время проверок Роскомназдора по плану нужно вести себя спокойно. Излишняя нервозность, неаккуратность в документах могут навести проверяющих на мысль, что дела в организации или отделе идут не так хорошо, как хочется показать.

Сотрудники и инспекция

Проверки и планы «Деда Роскомнадзора» на 2020 год

Дед Роскомнадзор весь год ищет операторов персональных данных, которые с точки зрения закона «плохо себя ведут», и выписывает им предписания. В этой статье мы хотели бы рассказать о том, как это происходит, а ещё немного раскрыть планы «дедушки» на 2020 год. Чудесно, если это кому-то поможет подготовиться заранее и избежать проблем.

Статья 23 федерального закона от 27.07.2006 «О персональных данных» №152-ФЗ выделяет два направления деятельности Роскомнадзора: защита прав субъектов персональных данных; контроль и надзор за соответствием обработки персональных данных требованиям законодательства. Для выполнения этих функций указанная статья закона наделяет Роскомнадзор определенными полномочиями. Рассмотрим самые, на наш взгляд, важные из них.

Роскомнадзор:

• проверяет сведения, указанные организацией в Уведомлении;
• может требовать от оператора уничтожения недостоверных или полученных незаконным путем персональных данных;
• может ограничивать доступ к информации, обрабатываемой с нарушением законодательства;
• вправе обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять их в суде;
• наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении настоящего Федерального закона;
• обязан рассматривать жалобы и обращения по вопросам, связанным с обработкой персональных данных, а также принимать по ним решения в пределах своих полномочий.
• На практике основные действия Роскомнадзора в соответствии с федеральным законом «О персональных данных» следующие:
• работа с обращениями и жалобами граждан;
• проведение контрольных и надзорных мероприятий;
• ведение Реестра операторов персональных данных.

Роскомнадзор рассматривает жалобы по закону от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации». Жалобы могут быть направлены как в письменном виде, так и через специальную форму на сайте Роскомнадзора или портала Госуслуг.

Срок рассмотрения обращения — 30 календарных дней, за исключением случаев, установленных в законе. Сейчас в Правительстве ждет утверждения проект нового Административного регламента. Но на данный момент Роскомнадзор проводит проверочные мероприятия на основании Административного регламента, утвержденного приказом Министерства связи и массовых коммуникаций РФ № 312 от 14.11.2011 года. В рамках деятельности по контролю и надзору за порядком обработки персональных данных Роскомнадзор осуществляет плановые и внеплановые проверки.

Плановые проверки

Плановые проверки проводятся на основании ежегодного плана, с ним можно ознакомиться по ссылке rkn.gov.ru/plan-and-reports

План проверок на следующий год обычно размещают на сайтах территориальных управлений в середине декабря текущего года. Так как с 1 сентября 2020 года Роскомнадзор не согласовывает планы проверок по персональным данным с Прокуратурой, то на сайте последней в сводном плане проверок по всем органам проверок по данной тематике нет. В действующем Административном регламенте сказано, что о проведении плановой проверки территориальное управление Роскомнадзора обязано уведомить вас не позднее, чем в течение трех рабочих дней до начала ее проведения.

Предметом проверки Роскомнадзора являются:

• деятельность по обработке персональных данных;
• документы, характер информации в которых предполагает или допускает включение в них персональных данных;
• информационные системы персональных данных.

Соответственно, Роскомнадзор не проверяет наличие и состояние технической защиты информационных систем персональных данных. Его главная задача — проверка правовых оснований обработки персональных данных.

Вопреки расхожему мнению, положения, инструкции, приказы и прочие документы не являются самым главным объектом проверок. Уполномоченный орган больше интересуют сами персональные данные и соответствие объема этих данных целям обработки.

В уведомлении о плановой проверке, как правило, написано, что проверяемое лицо должно представить:

• копию документа о назначении должностного лица или уполномоченного представителя, которое будет представлять интересы юридического лица на проверке;
• документы, характер информации в которых предполагает или допускает включение в них персональных данных. К таким документам Роскомнадзор обычно относит заявления, анкеты, журналы и пр.;
• документы, подтверждающие уничтожение персональных данных по достижению цели обработки. К сожалению, не все операторы персональных данных понимают, что в каждом случае обработки персональных данных есть (или должна быть) цель обработки, по достижению которой данные необходимо уничтожить; письменные согласия субъектов персональных данных на обработку их персональных данных;
• документы, подтверждающие соблюдение требований законодательства РФ при обработке персональных данных, в том числе специальных категорий и биометрических персональных данных;
• документы, подтверждающие место размещения баз (информационных систем) персональных данных. Это требование появилось, когда в законодательство внесли поправки о локализации персональных данных россиян; документы, подтверждающие ознакомление работников, непосредственно осуществляющих обработку персональных данных, с законодательством и локальными актами оператора по вопросам обработки персональных данных;
• локальные акты оператора, регламентирующие порядок и условия обработки персональных данных.

Всего запрашивается примерно 31 документ

, из основных и значимых можно выделить следующие (пункты касались как автоматизированной обработки, так и неавтоматизированной):

• Уведомление об обработке ПДн
• Документ, определяющий ответственного за организацию обработки ПДн
• Перечень сотрудников, допущенных к обработке ПДн
• Документ, определяющие места хранения ПДн
• Справка об обработке специальных и биометрических категорий ПДн
• Справка об осуществлении трансграничной передачи ПДн
• Типовые формы документов с ПДн
• Порядок уничтожения ПДн
• Порядок передачи ПДн третьим лицам
• Типовая форма согласия на обработку ПДн
• Порядок учета обращений субъектов ПДн
• Перечень информационных систем персональных данных (ИСПДн)
• Документы, регламентирующие резервирование данных в ИСПДн
• Перечень используемых средств защиты информации
• Матрица доступа
• Модель угроз
• Документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработки в информационных системах персональных данных»
• Журнал учета машинных носителей ПДн

В план проверок включают юридических лиц, которые подали Уведомление об обработке персональных данных в реестр операторов, и тех, кто этого не сделал. То есть могут проверить всех. Срок проведения как плановой, так и внеплановой проверки не может превышать 20 рабочих дней.

Внеплановые проверки Роскомнадзора

Внеплановые проверки бывают документарные и выездные. Документарные проводятся в форме запроса Роскомнадзором необходимых документов и предоставления вами этих документов в срок, указанный в запросе. О проведении внеплановой проверки оператор уведомляется не позднее, чем за 24 часа до ее начала любым доступным способом. Обычно это делается по телефону или по факсу.

Такие проверки могут проводиться в большинстве случаев по следующим основаниям:

• если истек срок исполнения оператором ранее выданного предписания об устранении выявленного нарушения. Обычно после плановой проверки Роскомнадзор проводит внеплановую, чтобы выяснить, как устранено нарушение. Такая проверка редко бывает выездной. Она проводится в документарной форме, то есть Роскомнадзор запросит у вас сведения об устранении нарушений, а вы должны предоставить необходимые документы;
• если в службу или ее территориальные органы поступило обращение от граждан, юридических лиц, индивидуальных предпринимателей, информация от органов государственной власти, органов местного самоуправления, из средств массовой информации. В 2011 году в службу поступило примерно 1500 жалоб. В 2020 году — примерно 33 000;
• по приказу руководителя Роскомнадзора или руководителя территориального управления.
• по факту выявления в результате систематического наблюдения
  нарушений обязательных требований

Мероприятия систематического наблюдения

Еще один вид контроля — мероприятия систематического наблюдения. Основное отличие — мероприятия осуществляются без взаимодействия с проверяемыми лицами. В последние годы это самый популярный вид контроля за порядком обработки персональных данных. Популярность таких мероприятий вызвана тем, что трудозатраты территориальных управлений на их проведение куда меньше плановых проверок, а эффективность намного больше. За небольшой период времени каждое территориальное управление Роскомнадзора может проверить десятки или даже сотни организаций, начав как правило с проверки их интернет-сайтов.

Понятие «мероприятия по систематическому наблюдению» добавилось в 2020 году. Систематическое наблюдение опасно тем, что оповещать о нём компанию никто не обязан. По результатам, если выявлены нарушения, проводится внеплановая проверка в соответствии с «Административным регламентом». Мероприятия систематического наблюдения проводятся на основании приказа руководителя территориального органа и закрепляются в ежегодном плане деятельности территориального управления на следующий год. Мы проанализировали данные доступные на сайте Роскомнадзора. Вот некоторые интересные результаты:

Всего запланированы мероприятия в отношении около 900 операторов ПДн. По географическому признаку — это самые различные организации «от Клининграда до Владивостока». Для выявления наиболее «проверяемых» отраслей мы воспользовались сведениями об основном виде деятельности компаний по ОКВЭД.

В планах лидируют «традиционные» для проверок РКН отрасли: образование, медицина, туризм и управляющие компании.
Около 38% операторов в планах мероприятий по систематическому наблюдению — государственные организации. Соответственно на долю коммерческих организаций приходится более 62% мероприятий. Практически 99,8% — это юридические лица, а не индивидуальные предприниматели.

Чтобы как-то описать размеры компаний, которые в 2020 году попадут под систематическое наблюдение, мы воспользовались информацией об размерах их уставного капитала как косвенным признаком.

В планах РКН компании всех размеров
Самым популярным нарушением, выявляемым в ходе мероприятий систематического наблюдения, является отсутствие на сайте документа, определяющего политику оператора в отношении обработки персональных данных, если на сайте выявлен случай сбора персональных данных (например, формы заявки, регистрации или обратной связи с определенным набором запрашиваемых сведений).

Также Роскомнадзор может запросить правовые основания для размещения чьих-либо персональных данных. Такие запросы уже поступали, например, в образовательные организации, когда на их сайте размещали персональные данные о школьниках и их успехах в олимпиадах. Так что, размещая персональные данные своих работников или иных лиц на сайте, проконтролируйте соблюдение требований закона.

На что обратить внимание

Обработка персональных данных — это каждодневная деятельность любого юридического лица. Мы постоянно работаем с данными наших работников и клиентов (пациентов, студентов, покупателей, заявителей, пользователей сайта, заемщиков, страхователей, посетителей зрителей и пр.). Одни и те же данные одного и того же человека мы обрабатываем в разных случаях. И взятое в одном случае согласие — на другой может не распространяться.

Соответственно, чтобы предотвратить негативные последствия, мы должны обратить внимание на правовую основу обработки персональных данных в каждом конкретном случае обработки, т. е. понять, есть ли у нас договоры, согласия или даже нормативные акты, которые Роскомнадзор признает при проверке законным основанием для обработки персональных данных. А проверка может возникнуть в любой момент. Например, у вас есть сайт. Вы собираете на нем данные через различные формы. Соответственно, вас могут проверить в ходе мероприятий систематического наблюдения, или в случае, если какой-нибудь посетитель вашего сайта подаст на вас жалобу. Также вами может быть недоволен ваш клиент или работник (бывший тоже может), которые имеют возможность пожаловаться в Роскомнадзор, и тот в свою очередь обязан на такие жалобы реагировать. Так что ваша задача — обеспечить правовую основу для каждого случая обработки.

Административная ответственность за нарушение законодательства в области персональных данных установлена статьей 13.11 КоАП РФ. Штрафы для юридических лиц за каждое нарушение, установленное статьей 13.11, варьируются от 15 000 до 75 000 рублей.

Проверки Государственной инспекции труда

В Трудовом Кодексе РФ 14 глава называется: «Защита персональных данных работника». Государственная инспекция труда проводит контрольно-надзорные мероприятия по поводу выполнения требований всего Трудового кодекса и, соответственно, не может обойти стороной главу 14. На проверках обращают внимание на требование пункта 8 статьи 86:

«работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области».

Таким образом, проверяют наличие такого документа и факт ознакомления с ним всех работников.

Административная ответственность за нарушение этих требований предусмотрена статьей 5.27. КоАП — штраф в размере от 30 000 до 50 000 рублей.

Проверки ФСТЭК и ФСБ

Статья 19 федерального закона «О персональных данных» устанавливает меры по обеспечению безопасности персональных данных при их обработке.

В части 3 статьи 19 сказано, что Правительство РФ устанавливает уровни защищенности персональных данных при их обработке в информационных системах персональных данных (далее — ИСПДн) и требования к защите персональных данных в ИСПДн. Таким образом, у нас появилось Постановление Правительства №1119 от 01.11.2012, определяющее эти требования.

В части 4 статьи 19 установлено, что состав и содержание необходимых для выполнения установленных Правительством требований, организационных и технических мер по обеспечению безопасности персональных данных, при их обработке в ИСПДн устанавливают ФСТЭК и ФСБ в рамках их полномочий. Во исполнение этого требования у нас появились:

• приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• приказ ФСБ РФ от 10.07.2014 №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите».

Фактически между ФСБ И ФСТЭК разделили полномочия в этой сфере, где ФСБ определяет меры по защите ИСПДн при использовании в них средств криптографической защиты, а ФСТЭК — меры по всем остальным вопросам обеспечения безопасности.

В части 8 статьи 19 федерального закона «О персональных данных» закреплен важный момент:

«Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных».

Выходит, ФСБ и ФСТЭК могут проверять только организации, эксплуатирующие государственные информационные системы. Для остальных информационных систем контроль в законе не закреплен. Сказано лишь, что ФСТЭК И ФСБ

«решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер…, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных…».

Проверки ФСТЭК и ФСБ могут быть как плановыми, так и внеплановыми.

В рамках проверок ФСБ обращает внимание на:

• наличие модели нарушителя и угроз, разработанной с учетом требований ФСБ;
• организационные меры, установленные в соответствии с приказом ФСБ № 378 (назначение ответственных лиц, локальные акты, порядок допуска работников к ИСПДн, физическую защиту объектов и пр.);
• наличие средств криптографической защиты информации, порядок их учета и эксплуатации;
• документацию на средства криптографической защиты информации (лицензии, сертификаты, формуляры и пр.).

В рамках проверок ФСТЭК обращает внимание на:

• наличие модели нарушителя и угроз, актов установления уровней защищенности для ИСПДн;
• наличие средств защиты информации, порядок их учета и эксплуатации;
• документацию на средства защиты информации (лицензии, сертификаты, формуляры и пр.);
• организационные меры, установленные в соответствии с приказом ФСТЭК России № 21 (назначение ответственных лиц, локальные акты, порядок допуска работников к ИСПДн, физическую защиту объектов и пр.);
• материалы аттестационных испытаний (в ГИС).
• За нарушение данных требований установлена ответственность в соответствии со статьей 13.12 КоАП РФ:
• за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации — штраф до 25 000 рублей для юридических лиц;
• за нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации — штраф до 15 000 рублей для юридических лиц.

Заключение

После вступления в силу поправок в статью 13.11 КоАП РФ контрольно-надзорная деятельность не изменится кардинально, но из-за существенного увеличения штрафов изменится подход организаций к выполнению требований закона и к подготовке к проверкам. Если раньше организации считали, что проще ничего не делать и можно ждать вероятную проверку и по ее итогам заплатить небольшой штраф (до 10 000 рублей), то теперь компании будут бороться за свои права, а значит, это положительно повлияет на довольно неоднозначную судебную практику по данным вопросам.

Хуже всего приходится тем организациям, начало проверок для которых приходится на самое начало года. У них минимальный запас времени для подготовки к проверке или наблюдению. Однако, стоит помнить, что обработка ПДн также может осуществляться лицом по поручению оператора

. При автоматизированной обработке можно обратиться к нам и избавить себя хотя бы от части головной боли по вопросу соответствия и сократить свои издержки. Мы предлагаем несколько решений, позволяющих приблизится к образу «идеального оператора», основное из них — «Облако ФЗ 152».

Источники:

rkn.gov.ru fstec.ru www.fsb.ru www.anti-malware.ru

Автор: Cloud4Y

Источник

Роскомнадзор: что проверяет и на что обращает внимание

Мероприятия по охране труда: план на предприятии

В первую очередь эксперты смотрят на соответствие того, что написано в уведомлении, и реального положения дел. Обо всех изменениях в политике обработки данных нужно сообщать по электронной почте или заказным письмом.

При плановой ревизии важно:

• какие именно данные обрабатывает компания;
• кто отвечает за обработку;
• где можно ознакомиться с политикой компании (в том числе на сайте);
• кому передаются данные;
• как обрабатываются данные, касающиеся здоровья сотрудников (особенно касается школ и других образовательных учреждений);
• как хранятся документы, и как контролируется доступ в этих помещениях;
• насколько всё перечисленное соответствует заявленному в документах.

Оштрафовать могут за расхождения между бумагами, которые подавались для реестра операторов, и реальностью. Также штрафы налагаются за беспорядочный доступ к информации, изменения, о которых вовремя не уведомили контролирующие органы, недостаточную прозрачность и сбор информации, которая не имеет отношения к деятельности компании.

Что требует проверяющий

Административным регламентом №312 определена последовательность действий (административных процедур) Роскомнадзора и его территориальных органов.

В частности, предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных являются (п. 5 Административного регламента №312):

• документы, характер информации в которых предполагает или допускает включение в них персональных данных (напр., личные дела работников)
• информационные системы персональных данных (напр., правила ведения электронного документооборота в программе 1С)
• деятельность по обработке персональных данных (напр., локальный нормативный акт о защите ПДР, согласие на обработку персональных данных и др.)

Общий перечень документов, подлежащих проверке, законодательно не определен.

Приведем примерный список документов:

• Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав и др.)
• Список ПД, обрабатываемых работодателем
• Список работников, имеющих доступ к ПД, приказ об их допуске
• Инструкции работников, которые в ходе своей трудовой деятельности обрабатывают ПД и обеспечивают информационную защиту
• Положение об ответственности работников за разглашение ПД и нарушение запрета доступа к ним
• Локальный нормативный акт о защите ПД
• Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности)
• Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи работников по требованиям информационной безопасности)
• Соглашения о неразглашении ПД с подписями работников
• Бланки согласия работников на обработку их ПД
• Журналы инструктажей работников по вопросам информационной безопасности и других внутренних контрольных мероприятий режима защиты
• Журналы учета всех носителей информации, а также средств защиты информационных систем

Конкретный перечень документов должен быть приведен в приказе руководителя.

Что такое персональные данные

Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.

Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.

Важно! Если согласия нет, могут последовать наказания – штрафы, блокировка сайта, приостановка работы, отзыв лицензии.

Все должно храниться в сейфе

Как проходит проверка Роскомнадзора по защите персональных данных

Программа предусматривает поэтапное взаимодействие:

• предприятие получает уведомление (при плановой проверке – за 3 дня, при внеплановой – за сутки), в нём указывается дата проведения и номер приказа;
• при документарной проверке (только плановой) высылается запрос и перечень документов, которые нужно представить. Руководитель высылает копии, заверенные своей подписью;
• при выездной проверке (плановой или внеплановой, может следовать за документарной, если выявлены недочёты) приезжают два инспектора, которые проверяют соответствие документов реальному положению дел;
• контролирующий орган выносит решение и даёт предписания;
• предприятие выполняет предписания.

Важно! Если предписания выполнены в срок, предприятие продолжает свою деятельность без взысканий.

Можно ли обжаловать результаты

Если проверка была проведена не по правилам, то руководитель предприятия может обжаловать её результаты. Важно обратить внимание на сроки уведомления, аккредитацию инспекторов, соблюдение ими правил проверки. Если что-то из этого было нарушено, а предприятие пострадало, составить возражение можно в течение 15 дней.

Не нужно бояться инспекции

С персональной информацией работают все – образование, здравоохранение, общепит, и даже небольшое ИП с одним сотрудником. Утечка личных карточек может нанести серьёзный вред, и именно на его предотвращение направлена инспекция Роскомнадзора.

https://youtu.be/0ExTrlxO_lI