Наследование

ПРОВЕДЕНИЕ ПРОВЕРКИ КОНТРОЛИРУЮЩИМ ОРГАНОМ (Прокурор разъясняет)

Оставить коментарий на ПРОВЕДЕНИЕ ПРОВЕРКИ КОНТРОЛИРУЮЩИМ ОРГАНОМ (Прокурор разъясняет)

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «ПРОВЕДЕНИЕ ПРОВЕРКИ КОНТРОЛИРУЮЩИМ ОРГАНОМ (Прокурор разъясняет)». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Разновидности проверок
2. Подготовка по требованиям 152-ФЗ и подготовка к проверке Роскомнадзора: отличия
3. Что могут проверить представители Роспотребнадзора
4. Как проходит проверка
5. Персональные данные: пять проблем работодателей
6. Проблема № 1. Получение отдельного согласия на каждую цель обработки данных
7. Проблема № 4. Локализация персональных данных
8. Как проверяет Роскомнадзор?
9. Что именно будут проверять
10. Как проводят выездную проверку

Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.

Разновидности проверок

Роскомнадзор осуществляет следующие формы проверок:

  • Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
  • Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
  • Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
  • Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.

Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.

Давайте подытожим, что нам нужно сделать, чтобы подготовиться к проверке РКН по вопросам выполнения законодательства в сфере защиты персональных данных и успешно ее пройти.

  1. Проанализировать необходимость подачи уведомления оператора ПДн. Проверить наличие уведомления, проверить корректность информации в уведомлении. Внести изменение в уведомление, при необходимости.
  2. Провести подробную инвентаризацию обрабатываемых персональных данных, информационных систем персональных данных, законность обработки различных персональных данных, технологические процессы обработки персональных данных и т. д. Эта информация нам понадобится при разработке документов.
  3. Назначить ответственных.
  4. Разработать комплект документации по защите персональных данных. Документация должна быть конкретизированной в отношении определенной организации и/или определенной ИСПДн. Уделяя время разработке документации по защите и обработке ПДн в информационных системах, не забыть о регламентировании неавтоматизированной обработки ПДн.
  5. Опубликовать политику в отношении обработки персональных данных на сайте (хотя допускается и другой вид организации беспрепятственного доступа к документу, если вы не гос- или муниципальный орган).
  6. Ознакомить всех причастных сотрудников с разработанной документацией.
  7. Заполнить журналы.
  8. Проинструктировать своих сотрудников о том, что проверяющим не нужно говорить лишнего и о том, что не нужно разбрасывать документы с ПДн по всему офису.
  9. Вести себя корректно с проверяющими. Выразить свою готовность исправлять мелкие недочеты в процессе проверки.

Подготовка по требованиям 152-ФЗ и подготовка к проверке Роскомнадзора: отличия

Глобальная проблема состоят в том, что закон не устанавливает точный перечень организационно-распорядительной документации, которую требуется разработать для соответствия закону и тем более перечень документов, которые запрашиваются на проверке. Роскомнадзор, как и любой другой регулятор, имеет право запросить не только конкретные документы, но и сведения, которые должны быть оформлены в виде справок от организации (в бумажном виде). Поэтому пакет документов для соответствия требованиям закона (около 40 документов) и пакет документов для прохождения проверки Роскомнадзора (плюс еще около 20 документов) отличаются, т.е. пакет для прохождения проверки более полный (итого около 60 документов).

Также нужно учесть, что в зависимости от территориального органа состав запрашиваемых документов может разниться.

Даже в зависимости от проверяющих требования отличаются («человеческий фактор»). По итогу, не имея опыта прохождения проверки Роскомнадзора, без обращения к компетентной организации – пройти проверку практически невозможно.

Что могут проверить представители Роспотребнадзора

Среди контролирующих органов объемы проверок Роспотребнадзора самые больше. Строго говоря, они могут посмотреть все, что прямо или косвенно относится к обслуживанию покупателей или клиентов. И даже больше: в ряде случаев их права могут пересекаться с работой полиции, налоговой, МЧС и других ведомств. Список пунктов исчисляется сотнями, перечислить все в рамках одной статьи невозможно.

Что проверяют чаще всего:

  • помещения: как они оснащены, используются ли по назначению (например, крепкий алкоголь нельзя продавать в помещениях площадью менее 55 квадратных метров);
  • товары, особенно если речь идет о продуктах питания, лекарствах, алкоголе и так далее: аптеки, продуктовые магазины и алкомаркеты проверяют чаще других;
  • порядок трудоустройства сотрудников;
  • соблюдение санитарно-эпидемиологических норм;
  • соблюдение закона о защите прав потребителей;
  • квалификацию сотрудников — медицинские книжки, прохождение осмотров и так далее;
  • торговое оборудование: холодильники витрины, полки, стеллажи, оснащение склада;
  • наличие и соблюдение программы производственного контроля;
  • оформление уголка посетителей;
  • документы на товар, оборудование;
  • нормы обслуживания покупателей и многое другое.

Как проходит проверка

Предупреждают за 3 дня, после чего приходят, показывают служебное удостоверение и вручают копию приказа о проведении проверки. Там должны быть указаны:

  • время и место проверки: наименование организации или магазина, его адрес и учредительные данные (ИНН, ОГРН (ОГРНИП) и так далее);
  • фамилии, имена и отчества инспекторов, проводящих проверку;
  • предмет проверки: что конкретно и в каком объеме проверяют;
  • основание проверки: жалоба покупателя, подошедший срок плановой проверки;
  • сроки проведения проверки. Плановые мероприятия не могут продолжаться более 20 дней;
  • другая информация, установленная нормативными документами.
Читайте также:  Покупка квартиры по доверенности. Как составить доверенность и провести сделку

Если в Вашем офисе появились лица, утверждающие, что они сотрудники некой государственной структуры и намерены провести проверку, то они должны предоставить Вам удостоверения личности и документы, являющиеся основанием для проведения именно этой проверки.

Потребуйте имя и должность непосредственного руководителя проверяющих, а также его контактный телефон. Если вам не предоставляют такую информацию, вызывайте наряд полиции по телефону 02 и жалуйтесь на самозванцев. В документах нужно обратить внимание на такие реквизиты, как наименование Вашей организации, ОГРН, ИНН. Сопоставьте указанные данные с реальными. Если есть расхождения (даже незначительная ошибка в названии компании), Вы можете не пускать проверяющих на предприятие. Время, за которое документ будут исправлять, нужно использовать для подготовки к визиту.

Самое главное – помнить, что гражданин в соответствии со статьей 51 Конституции РФ имеет право не свидетельствовать против себя самого, супруга (супруги) и близких родственников и отказаться по этой причине от дачи объяснений. Если Вы отказались от объяснений Вас не могут привлечь к административной или уголовной ответственности.

Неоднозначную формулировку, которая Вам кажется безобидной, проверяющие будут трактовать так, как это выгодно им. Поэтому любые объяснения давайте вдумчиво и взвешенно. Часто работников опрашивают по-отдельности в разных кабинетах. При этом не стоит поддаваться на такую уловку: в ходе опроса, например, финансового директора проверяющий заявляет, что «генеральный все сказал» и скрывать сведения нет никакого смысла. И наоборот.

Персональные данные: пять проблем работодателей

Штрафы за нарушение требований обработки персональных данных могут достигать 18 млн ₽ (!). Чтобы избежать таких трат и споров, работодателям важно не только разбираться в требованиях законодательства, но и учитывать при обработке данных мнение Роскомнадзора по тому или иному вопросу.

В статье с учетом актуальных позиций ведомства разобрали пять частых проблем, связанных с персональными данными. Проверьте, правильно ли вы составляете согласие на обработку данных, действуете в случаях отказа от дачи согласия, его отзыва, наводите справки о соискателях и организуете локализацию данных.

  • Проблемы при работе с персональными данными:

Проблема № 1. Получение отдельного согласия на каждую цель обработки данных

Работодатели не должны без письменного согласия работника сообщать его персональные данные третьей стороне. Исключения — случаи, когда передача данных нужна в целях предупреждения угрозы жизни и здоровью работника, а также иные случаи, когда такая передача требуется в силу закона (ст. 88 ТК).

Чтобы передать данные ПФР, согласие работника не нужно, а вот для передачи данных другим компаниям группы, контрагентам, провайдерам услуг согласие необходимо. Как правило, такая передача не подпадает под исключения.

Чтобы облегчить себе жизнь, работодатели часто используют в согласиях на обработку данных максимально широкие формулировки. Так компании пытаются покрыть одним согласием сразу все потенциальные случаи обработки данных работника, включая их передачу различным третьим лицам во всех возможных целях обработки. Однако не так давно Роскомнадзор стал признавать такую практику незаконной.

Согласно подходу Роскомнадзора, письменное согласие работника должно покрывать лишь одну цель обработки. Если данные обрабатываются в нескольких целях и передаются нескольким третьим лицам, то на каждую цель и каждое третье лицо должно быть отдельное согласие. Совмещать несколько целей и несколько третьих лиц в одном согласии нельзя.

Позиция ведомства основана на ч. 4 ст. 9, ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ (далее — Закон № 152-ФЗ). Согласно этой норме, в письменном согласии необходимо указывать «цель обработки», а также «наименование лица, осуществляющего обработку по поручению оператора». Поскольку и цель, и лицо указаны в единственном числе, включать несколько целей и лиц в одно согласие нельзя. Позиция Роскомнадзора относится не только к согласиям работников, но и ко всем случаям, когда надо получать именно письменное согласие.

Попытки работодателей оспорить предписания Роскомнадзора об устранении нарушений и необходимости оформить отдельные согласия пока безуспешны — суды поддерживают позицию ведомства.

  • Судебная практика
  • Работодатель потребовал признать незаконным предписание Роскомнадзора, в котором в том числе было указано, что работодатель передает персональные данные работников третьим лицам на основании письменного согласия, которое не соответствует требованиям ч. 4 ст. 9 Закона № 152-ФЗ.

Суды заняли сторону ведомства. Так, АС г. Москвы указал, что требования п. 4 ч. 4 ст. 9 Закона № 152-ФЗ императивно указывают на наличие только одной цели обработки персональных данных. В рассматриваемом же случае ООО использует форму согласия, где работник соглашается на обработку данных в нескольких целях, при этом в согласии не указаны наименование и адрес лица, которое по поручению оператора обрабатывает данные, что также не соответствует требованиям п. 6 ч. 4 ст. 9 Закона № 152-ФЗ. Вышестоящие суды согласились с такой позицией, добавив, что конкретизирование обстоятельств передачи данных необходимо в целях защиты персональных данных. Работник должен понимать, кому и на что он дает согласие и какие последствия это может повлечь (решение АС г. Москвы от 09.08.2017; постановления 9-го ААС от 10.10.2017, АС Московского округа от 15.01.2018 по делу № А40-81171/17).

Такой подход госорганов привел к тому, что работодатели вынуждены подписывать с каждым работником целую стопку согласий. Часто это большой объем документов.

Совет. Мы согласны с тем, что множество согласий вряд ли способствует защите интересов работника. Чем больше документов, тем выше вероятность, что работник запутается в них или попросту не прочитает. Но так как позиция Роскомнадзора не меняется и суды поддерживают ведомство, мы рекомендуем работодателям обеспечить наличие отдельного согласия на каждую отдельную цель и каждое отдельное третье лицо, которому передаются персональные данные. Кроме того, советуем провести ревизию целей обработки и попробовать объединить некоторые цели в одну — это может позволить уменьшить количество целей и, соответственно, согласий каждого работника.

Читайте также:  Законная управа на соседей-меломанов – советы юриста

Проблема № 4. Локализация персональных данных

Суть локализации в том, чтобы при сборе персональных данных граждан России обеспечить их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, которые находятся на территории нашей страны (ч. 5 ст. 18 Закона № 152-ФЗ). Другими словами, серверы систем и программ, в которых первоначально собираются данные работников или кандидатов, должны находиться в России.

Столкнуться с необходимостью локализации данных работодатель может при использовании корпоративной электронной почты, глобальной кадровой системы, например Workday и т. п. При этом не стоит думать, что правило о локализации затрагивает только организации, которые входят в международные группы компаний, и филиалы иностранных фирм. Требование о локализации распространяется и на российских работодателей.

В ч. 5 ст. 18 Закона № 152-ФЗ указаны исключения из правила о локализации данных. В том числе соблюдать это требование необязательно, если оператор обрабатывает данные для достижения предусмотренных законом целей или выполняет функции, полномочия и обязанности, которые возложены на него законом. Но на практике такие исключения могут трактоваться очень узко, и многие процессы во взаимодействии работника и работодателя под исключения не подпадают. Поскольку штрафы за нарушение правила локализации огромные — от 1 до 18 млн ₽, то лучше не рисковать и первоначально собирать информацию о работниках в базы, находящиеся в России.

Бухгалтерия работает с документами, где есть персональная информация. Самый высокий штраф, который грозит за нарушение, – 75 000 руб. Чтобы избежать санкций, смотрите в памятке, за какие действия с персональными данными могут наказать бухгалтера.

Чтобы требование о локализации соблюдалось, процесс обработки персональных данных нужно построить следующим образом.

1. Персональные данные изначально собираются в базе данных, расположенной в России. Например, в локальной IT-системе или в структурированном файле на локальном компьютере работодателя.

2. Изменения в персональные данные вносятся через российскую базу данных.

3. После того как данные локализованы в российской базе данных, их можно передавать в любые глобальные системы, расположенные за границей, при условии соблюдения требований о передаче данных.

В третьем пункте речь идет о том, что передавать данные нужно на основании согласия работника или иного законного основания. На практике чаще всего требуется согласие субъекта, причем в определенных законом случаях оно должно быть письменным и содержать все пункты, указанные в ч. 4 ст. 9 Закона № 152-ФЗ. Так, письменное согласие необходимо, если вы будете передавать:

  • данные третьим лицам;
  • данные в страны, не обеспечивающие адекватную защиту данных, например в США;
  • специальные категории данных. Например, данные о здоровье, расовой, национальной принадлежности, что иногда требуется в рамках программ diversity.

Кроме того, чтобы передать данные за границу, необходим договор о передаче данных или соответствующие договорные положения, включенные в ГПД между работодателем и получающей стороной, например организацией, предоставляющей кадровую программу, или зарубежной компанией группы.

Чтобы выстроить процесс обработки данных в соответствии с указанным порядком, можно привлечь специализированную стороннюю компанию или поручить организацию первичной базы данных одному из работников или отделов компании. Чтобы разработать подходящий работодателю способ обработки данных, к процессу нужно привлечь юристов, IT-специалистов и кадровиков, так как решение в каждом случае зависит от процессов, применимых у конкретного работодателя.

Совет. Проверьте, какие IT-системы для обработки данных российских граждан вы используете и где находятся серверы баз данных. Если за границей, то перестройте процесс так, чтобы первоначально данные собирались в России. Кроме того, проверьте документы, регулирующие обработку данных в таких системах и передачу данных в рамках указанных процессов (согласия, договоры о передаче данных, ЛНА), при необходимости скорректируйте их или разработайте недостающие документы.

Как проверяет Роскомнадзор?

Существуют плановые и внеплановые проверки, которые проводятся как в отношении тех организаций, которые включены в реестр Роскомнадзора, так и тех, что не включены. Плановые проверки более безобидные, так как о том, что вас проверят, оповестят заранее (не позднее чем за три дня), а по внеплановым проверкам — всего за 24 часа. Роскомнадзор в конце каждого года публикует на своем сайте план проверок на следующий календарный год и проверяет в соответствии с ним.

Для организации все начинается с уведомления, которое приходит по почте России. В нем Роскомнадзор уведомляет о намерении проверить и кратко сообщает, что именно будет проверять. Также в уведомлении сообщается состав проверочной комиссии, дата и срок выездной проверки. Срок проверки обычно составляет 20 рабочих дней, но это не значит, что все 20 дней у вас будет сидеть комиссия, а говорит лишь о дедлайне проверки. Комиссия, как правило, приезжает всего 2-3 раза: первый раз — запросить документы, второй раз — забрать документы и третий раз — выдать акт о проверке с замечаниями и предписанием на устранение нарушений. Нередко сразу выписываются протоколы об административных правонарушениях.

По факту объем запрашиваемых документов и методика самой проверки сильно варьируются в зависимости от того или иного территориального управления Роскомнадзора.

Кратко порядок проверки выглядит так:

  1. Уведомление оператора о проведении плановой проверки путем направления копии приказа руководителя Роскомнадзора о проверке почтой России. Уведомление должно поступить оператору не позднее трех рабочих дней до начала ее проверки (при плановой проверке), что очень мало, чтобы успеть к ней подготовиться.
  2. Далее в указанный в уведомлении день проверки приезжает комиссия, как правило, в составе 2-3 человек для осуществления государственного контроля.
  3. На месте проверки комиссия запрашивает и рассматривает документы, имеющиеся у оператора «под рукой», и выдает список документов для предоставления оператором до окончания срока проверки. Непредоставление оператором запрошенных документов расценивается как несоответствие требованию закона, и выписывается штраф, а также предписание на устранение нарушений.
  4. По результатам рассмотрения представленных оператором к проверке документов Роскомнадзор составляет акт проверки, предписание об устранении выявленных нарушений, а также протоколы об административных нарушениях в отношении оператора.
  5. По окончании срока предписания об устранении выявленных нарушений назначается повторная внеплановая проверка. В случае неустранения нарушений деятельность организации приостанавливается.
Читайте также:  Правила игры в волейболе — доступно и просто

Смотреть весь список

Свернуть
Роскомнадзор осуществляет проверку в соответствии с Административным регламентом Роскомнадзора и имеет право:

  1. Выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных.
  2. Составлять протоколы об административном правонарушении или направлять в органы прокуратуры и другие правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях, а также о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.
  3. Обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных.
  4. Использовать технику и оборудование, принадлежащие службе или ее территориальному органу.
  5. Запрашивать и получать необходимые документы (сведения) для достижения целей проведения проверки.
  6. Получать доступ к информационным системам персональных данных в режиме просмотра и выборки необходимой информации.
  7. Направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.
  8. Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации в области персональных данных.
  9. Требовать от Оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.
  10. Привлекать экспертов и экспертные организации при проведении контрольно-надзорных мероприятий, а также для анализа полученных материалов.

Что именно будут проверять

Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.

СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.

Роскомнадзор осуществляет контроль над следующими направлениями:

  • Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
  • Системы, осуществляющие обработку данных (ПК и программы).
  • Наличие локальных нормативных актов.
  • Исполнение положений этих актов.
  • Сайт организации.

Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.

В отдельных случаях Роскомнадзор проводит незапланированное инспектирование на основании приказа, подписанного уполномоченным должностным лицом. Правила, утвержденные ПП N 146 содержат полный перечень оснований для инициирования внеплановой проверки Роскомнадзора:

  • выявления неисполненного или исполненного не полностью предписания, выданного по итогам планового инспектирования;
  • нарушения прав граждан, перечисленных ст. 14-17 152-ФЗ, выявленные в результате анализа заявлений пострадавших, поступивших в орган по контролю и надзору;
  • поручение органов власти, Президента;
  • требование прокурора;
  • резолюция руководства Роскомнадзора на основании изучения выводов о наличии нарушений после проведенных проверок без взаимодействия с оператором.
Важно!

Уведомление Роскомнадзора о начале внеплановой проверки обработки персональных данных вручается оператору не позднее, чем за 24 часа до ее начала. В качестве уведомления направляется копия приказа любым доступным способом. В приказе указываются должностные лица, которые уполномочены проводить инспектирование. Внеплановые проверки только выездные.

Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.

В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.

Как проводят выездную проверку

Выездную проверку проводят по месту работы или регистрации бизнеса. Если оператор персональных данных — физлицо без регистрации ИП, выездной проверки у него быть не может.

Когда начинается выездная проверка, представитель Роскомнадзора показывает удостоверение и приказ с информацией о сроках, основаниях и целях проверки. Еще до того как начнут проверять, оператору вручат запрос о представлении документов. Раньше такого не было. На подготовку документов дадут минимум два дня.

Во время проверки нужно предоставить проверяющим доступ в помещения и к компьютерам. Если мешать проверке, составят акт и пригласят полицию.

Если проверка придет и никого не застанет по указанному адресу, сроки приостановят. Если и потом никто не объявится, с внеплановой проверкой смогут прийти в любое другое время вообще без предупреждения.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *