Надзорное ведомство придет к тому, кто по закону считается оператором обработки персональных данных. А это практически все работодатели – организации, индивидуальные предприниматели и в некоторых случаях физические лица. К проверке, которая может быть неожиданной, внеплановой, лучше быть готовым. Это значит – подготовить необходимый пакет документов о защите персональных данных. Если документы окажутся не в порядке или они вообще отсутствуют, Роскомнадзор вправе приостановить деятельность организации до устранения нарушений.
Сегодня все чаще поднимается вопрос о законности сбора и использования персональных данных (ПД). Несмотря на уже 10-летний срок действия Федерального закона № 152-ФЗ «О персональных данных», многие работодатели не знают того, что они обязаны уведомить контролирующий орган – Роскомнадзор – о подобной деятельности, чтобы не навлечь на себя серьезные санкции.
Не единственная, но одна из главных задач Роскомнадзора – контролировать обработку персональных данных операторами. Оператором, фактически, является любое юридическое лицо и большинство индивидуальных предпринимателей. В некоторых случаях операторами персональных данных могут быть и прочие физические лица.
– Если к вам еще не пришли с проверкой – не расслабляйтесь. Обязательно придут. В последнее время защите персональных данных и подготовке соответствующих регулирующих документов уделяется особое внимание, – рассказал «Капиталисту» генеральный директор Центра информационной безопасности (Барнаул) Павел Плетнев. – А если ваша компания является оператором, готовить пакет соответствующих документов вы обязаны. Как и поддерживать их в актуальном состоянии. Проверкой соответствующей документации и, если необходимо, условиями хранения документов, и занимается Роскомнадзор.
В первую очередь ведомство следит за соблюдением 152-ФЗ «О персональных данных» от 2006 года. Это своеобразная «Конституция», определяющая нормы при создании прочих нормативно-правовых актов в данной сфере.
С сентября 2015 года проверки, связанные с персональными данными, выведены из-под действия 294-ФЗ. Порядок проверок регламентируется административным регламентом от 2011 года, утвержденным приказом Минкомсвязи РФ №312 и размещенным на главном сайте Роскомнадзора. Именно он определяет, как и когда будет проводиться плановая или внеплановая проверка. Кстати, в 2015 году добавилось понятие «мероприятия по систематическому наблюдению», о которых мы скажем ниже.
В отличие от плановых проверок, проводимых не чаще, чем раз в 3 года, внеплановые могут проводиться гораздо чаще – по мере поступления жалоб, по результатам «систематического наблюдения», по представлению прокуратуры.
Опасаться проверок вполне резонно. В худшем случае Роскомнадзор может вообще приостановить деятельность организации до устранения нарушений, не говоря уже об административной ответственности, ужесточение которой готовится еще с прошлого года.
Виды проверок Роскомнадзора
Документарная, выездная проверки и систематическое наблюдение
Документарная проверка
Документарная проверка не предусматривает выезда специалистов Роскомнадзора на территорию организации. Роскомнадзор отправляет коммерческой/некоммерческой организации, предпринимателю или физическому лицу список документов, копии которых необходимо отправить в Роскомнадзор.
Выездная проверка
Выездная проверка намного серьезнее для оператора. Сотрудники Роскомнадзора прибывают непосредственно на место обработки персональных данных – причем проверить могут не только наличие необходимых документов, но и, например, условия хранения персональных данных на материальных носителях (возможность доступа неуполномоченных лиц и т. п.), беседовать с сотрудниками на знание правил обработки.
Отметим, что сотрудник Роскомнадзора обычно способен найти немало нарушений в проверяемых документах. Если же речь идет о выездной внеплановой проверке, дела оператора персональных данных плохи. Особенно, если он не подготовился к ней заранее.
Систематическое наблюдение
Новые полномочия Роскомнадзора. Поскольку о прецедентах «систематического наблюдения» и его результатах пока практически ничего не известно, остается ждать публикаций о конкретных случаях принятия Роскомнадзором данных мер.
Расписание мероприятий по систематическому наблюдению также выкладывается на территориальных сайтах Роскомнадзора, однако конкретные компании в нем не указываются, только сроки проведения мероприятий по систематическому наблюдению по конкретным отраслям (государственные учреждения, коллекторские агентства и т. п).
Систематическое наблюдение опасно, в первую очередь, для компаний, владеющих сайтами, обрабатывающими персональные данные. Особенно опасно оно тем, что оповещать о систематическом наблюдении компанию никто не обязан. По результатам, если выявлены нарушения, проводится внеплановая проверка в соответствии с «Административным регламентом».
Плановая и внеплановая проверки
Плановая проверка
График плановых проверок составляется на год вперед и выкладывается в конце года, предшествующего началу проверок. Раньше общий график проверок выкладывался на главном сайте Роскомнадзора, теперь, в связи с изменениями в «Административном регламенте» – на территориальных сайтах, отдельно для каждого региона.
Удобство такой системы в том, что наименование организации известно заранее, известна дата и сроки проведения проверки, поэтому единственное, что требуется от операторов персональных данных – элементарная внимательность. Тем более, что о плановых и внеплановых проверках Роскомнадзор уведомляет операторов заранее.
Хуже всего приходится тем организациям, начало проверок для которых приходится на самое начало года. У них минимальный запас времени для подготовки к проверке.
Внеплановая проверка
Может проводиться Роскомнадзором после рассмотрения жалобы либо, например, по результатам систематического наблюдения. В связи с новейшими изменениями в нормативно-правовых актах, для Роскомнадзора в большинстве случаев теперь не требуется одобрение или представление прокуратуры.
У самой прокуратуры достаточно полномочий обратиться в Роскомнадзор при выявлении любого правонарушения, связанного с обработкой персональных данных.
Примечательно, что теперь Роскомнадзор должен согласовывать проверки по обращениям граждан с прокуратурой. Это, пожалуй, единственный вариант, при котором вмешательство прокуратуры необходимо.
Напомним, о внеплановой проверке оператора персональных данных уведомляют за три дня, в отдельных случаях, предусмотренных «Административным регламентом» – за 24 часа. В таких случаях самостоятельно подготовиться к проверке достаточно проблематично.
Цель проверок Роскомнадзора – выяснить, насколько точно соблюдаются требования 152-ФЗ «О персональных данных» и других нормативных актов, связанных с обработкой ПД.
Теоретически документы к проверке можно подготовить самостоятельно, однако, это далеко не всегда удается даже сотрудникам, имеющим опыт подготовки юридической документации. Сказывается специфика защиты персональных данных и, как следствие, специфика подготовки организационно-распорядительной документации.
Эффективно справиться с задачей способен специалист в области защиты информации, но, такие сотрудники имеются в штате далеко не каждой организации, да и «себестоимость» сформированной документации с учетом затрат человеко-часов, выйдет слишком высокой.
Еще один вариант – привлечь эксперта из сторонней организации. Такие услуги стоят весьма дорого, однако результат того стоит. Основной недостаток, помимо высокой цены – специалист подготовит документы один раз. При малейших изменениях в структуре компании, структуре информационных систем, кадровом составе и т. п. привлекать эксперта придется снова.
Оптимальный вариант – использовать онлайн-сервис подготовки документов. Достойных сервисов подобного рода не очень много и их имена давно известны. При этом подготовить пакет документов вполне сможет штатный бухгалтер, юрист, сотрудник ИТ-отдела или руководитель организации.
Материалы по теме:
