+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Роскомнадзор поведет проверки работодателей на предмет защиты персональных данных по новым правилам

Содержание

Проверка Роскомнадзора на 2019 год – как подготовиться, что проверяют

Роскомнадзор поведет проверки работодателей на предмет защиты персональных данных по новым правилам

Здравствуйте! Сегодня мы обсудим еще один вид проверок, затрагивающий каждого работодателя, а именно инспекции Роскомнадзора. О том, как они проходят, и как к ним подготовиться, читайте в нашей статье.

Виды проверок

Процедура проверки во многом зависит от ее вида. Основные типы проверок:

  1. Плановые. Их график составляется заранее, еще в конце предыдущего года, и публикуется на сайте. Кроме того, проверяемого предупредят письмом или лично как минимум за три дня до начала инспекции.
  2. Внеплановые. Они инициируются после поступления жалоб от недовольных клиентов или даже от доноса конкурента. В зависимости от серьезности предполагаемого нарушения о проверке могут предупредить за сутки, а могут и не предупредить вовсе.
  3. Документарные. Проверяется пакет документов, который по запросу предоставляется в контролирующий орган.
  4. Выездные. Осматривается территория предприятия.

Что проверяет Роскомнадзор

Далеко не все знают, за какую область отвечает Роскомнадзор, или иначе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Роскомнадзор контролирует работу операторов любых персональных данных (сотрудников или клиентов).

Подконтрольными Роскомнадзору субъектами выступают все предприятия, большинство ИП и даже некоторые граждане, которые вне зависимости от объема, обрабатывают и собирают информацию о клиентах, сотрудниках и других гражданах.

У вас есть наемные работники? Если ответ положительный, то будьте уверены, вы уже точно попадаете под проверки Роскомнадзора по персональным данным.

Трудовой Кодекс РФ дает нам такое толкование термина: персональные данные — сведения, которые необходимо передать работодателю для осуществления служебных обязанностей. Например, это паспортные данные, номер телефона, адрес и даже факты биографии (образование, опыт работы, семейное положение).

Роскомнадзор проверяет:

  1. Документы, включающие в себя персональные данные. Если проверка выездная – еще и условия их хранения, организацию места хранения. Собственно хранение данных на предприятии может быть физическим или электронным, Роскомнадзор проверяет оба метода;
  2. Обрабатывающие их системы (компьютеры и программы);
  3. Внутренние нормативные акты, касающиеся обработки и хранения персональных данных, и их практическое соблюдение;
  4. Сайт компании в интернете. Например, предприятие могут оштрафовать, если на его сайте производится сбор персональных данных (для регистрации нужно вводить свое имя, номер телефона), но не размещены подробности дальнейшей работы компании с персональными данными.

Единого перечня документов, которые подвергаются проверке, не существует, но приблизительный список такой:

  • Учредительные документы фирмы (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав общества и прочие);
  • Копия уведомления о намерении осуществлять работу с персональными данными (можно заменить выпиской из реестра операторов);
  • Список персональных данных, собираемых и охраняемых вашей компанией;
  • Список сотрудников, имеющих доступ к персональным данным, вместе с приказом об их допуске;
  • Инструкции сотрудников, которые в ходе своей трудовой деятельности обрабатывают персональные данные и обеспечивают информационную защиту;
  • Положение об ответственности работников за разглашение персональных данных и нарушение запрета доступа к ним;
  • Положения о коммерческой тайне, о защите персональных данных, хранящихся на предприятии;
  • Положения об особенностях обработки персональных данных, в том числе их обезличивания;
  • Документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности);
  • Положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи сотрудников по требованиям информационной безопасности);
  • Соглашения о неразглашении персональных данных, подписанные всеми сотрудниками;
  • Бланки согласия граждан на обработку их персональных данных;
  • Журналы инструктажей сотрудников по вопросам информационной безопасности и прочих внутренних контрольных мероприятий режима защиты;
  • Журналы учета всех носителей информации, а также средств защиты информационных систем.

Как подготовиться к проверке Роскомнадзора

Перед любой проверкой важна правильная подготовка. Давайте рассмотрим, какие мероприятия помогут не ударить в грязь лицом перед инспектором.

Проверка Роскомнадзора одна из самых сложных в плане подготовки. Данные – вещь нематериальная, для обеспечения безопасности их недостаточно положить в сейф под ключ. Нужно привести в порядок огромный пакет документов, и не удивительно, что сделать это самостоятельно, не упустив ничего из виду, задача не из легких.

Крупные операторы обычно не скупятся на содержание в штате фирмы специально обученного сотрудника, который следил бы за всеми бумагами, информационными системами и руководил подготовкой к проверке.

Для предприятий поменьше есть другой, но тоже недешевый вариант – нанять стороннего эксперта. Он поможет единожды систематизировать хранение и обработку персональных данных на фирме.

Если эти два варианта предпринимателю не по карману, придется все делать собственными силами.

Основной план подготовительных мероприятий выглядит так:

  1. Убедитесь, что ранее вы подавали в Роскомнадзор уведомление об обработке персональных данных. Подавать его нужно прежде, чем начинать деятельность, и опоздание уже становится поводом для штрафа. На практике Роскомнадзору почти всегда удается доказать, что каждый работодатель является оператором персональных данных. Какие бы факты он ни приводил в доказательство обратного.
  2. Проверьте, соответствует ли ваша текущая деятельность указанному в едином реестре. Уточните содержание заявления, которое вы ранее подавали в Роскомнадзор и при необходимости внесите в него изменения. Необходимую для этого форму можно скачать на сайте Роскомнадзора. Именно несоответствие этих данных и фактической деятельности выступает самой распространенной причиной штрафа от Роскомнадзора. Например, даже назначение другого ответственного за обработку персональных данных сотрудника уже становится основанием для штрафа.
  3. Назначьте ответственного за обработку персональных данных, вместе с ним приступайте к подготовке всех документов, сопровождающих путь персональных данных от сбора, до хранения и уничтожения.
  4. Обязательно оформите «Политику компании в отношении обработки персональных данных». Вы можете дать документу другое название, но суть в том, что он станет основополагающим сводом правил и инструкций в интересующем Роскомнадзор вопросе.
  5. Подготовьте к проверке всех сотрудников. Ознакомьте их с документами по работе с персональными данными. Установите четкие правила поведения с инспекторами, если ожидается выездная проверка. Очень часто у проверяющих возникают вопросы к простым работникам. Отработайте с ними тактику «глухой защиты» – ничего не говорить, ничего не подписывать без присутствия руководителя. Вы действительно имеете на это право.
  6. Проверьте, как и где вы храните бумаги, особенно ксерокопии паспортов, кто имеет к ним доступ.
  7. Проверьте материально-техническое оснащение офиса: замки на важных помещениях, наличие сейфов для документов.
  8. Воспользуйтесь специальными онлайн-сервисами для подготовки документов. Они бывают совсем бесплатными или коммерческими, но в любом случае дешевле офлайн специалиста. Особенно если вы практически не знакомы с законодательством о персональных данных, сервисы дадут исключительно актуальные подсказки по подготовке.

Как проходит проверка Роскомнадзора

Начинается проверка с уведомления проверяемого. В нем указываются сроки и реквизиты инициирующего приказа. Прилагаются, кроме того, копия самого приказа, план контрольных мероприятий.

Сначала проверяют документы. На предприятие отправляется запрос, на который необходимо ответить в течение 10 дней. Предприниматель предоставляет копии документов, заверенные подписью и печатью. Свидетельство нотариуса не требуется. Если в документах содержится вся необходимая для разъяснения ситуации информация, то до выездной инспекции дело не дойдет.

Но если в бумагах будут обнаружены ошибки или у инспектора останутся вопросы, то тогда он лично навестит предпринимателя. Посетителей должно быть минимум двое, они обязаны предъявить удостоверения и копии приказа о проведении проверки.

Длится выездная проверка 20 рабочих дней, и еще на 20 дней она может быть продлена, если требуется провести дополнительные исследования.

Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки.
Результат проверки можно обжаловать.

Сделать это можно как письменно, так и устно (например, в ходе личного приема или по телефону – подробности можно найти на сайте территориального органа Роскомнадзора).

Рассматривается жалоба в течение месяца.

Советы предпринимателям

Во время проверки:

  1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
  2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
  3. Не паникуйте;
  4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
  5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
  6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
  7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Источник: https://kakzarabativat.ru/pravovaya-podderzhka/proverka-roskomnadzora/

Проверка Роскомнадзора по защите персональных данных: как подготовиться и избежать штрафов

Роскомнадзор поведет проверки работодателей на предмет защиты персональных данных по новым правилам

Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года.

Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит.

Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Тем более что в настоящее время Госдума рассматривает законопроект о значительном увеличении штрафов за нарушения в обработке персональных данных.

Виды проверок Роскомнадзора

Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.

– Плановая проверка

О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит  уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.    

– Внеплановая проверка

Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

– Документарная проверка

В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.

– Выездная проверка

При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.

В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.

Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?

Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований.

Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять.

Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.

Если привлечение внешнего специалиста для вас дорого, сделайте выбор в пользу бюджетного варианта и используйте специальные онлайн-сервисы для выполнения законодательства о персональных данных.

Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:

  1. Для начала найдите в компании человека, который будет следить за выполнением законодательства в области персональных данных. Часто в компаниях малого и среднего бизнеса эта функция делегируется бухгалтеру, кадровику или юристу. Реже ее берет на себя руководитель. В крупных компаниях вопросами защиты информации может заниматься целый отдел.
  2. Назначьте ответственного за организацию обработки персональных данных в компании. Скорее всего, это будет тот же человек, который  занимается вопросами персональных данных.
  3. Изучите процесс обработки персональных данных в компании, например, какие персональные данные компания собирает, в каких целях. Компания может собирать персональные данные работников для выполнения трудового законодательства или данные клиентов для выполнения заключенных с ними договоров, ей также могут понадобиться персональные данные соискателей на вакантные должности. Возможно, компания передает эти данные в другую организацию,  например, данные сотрудников в бухгалтерию.
  4. На основе полученной информации разработайте пакет документов, включающий политику компании в отношении обработки персональных данных, положение по неавтоматизированной обработке, приказ о назначении ответственных и ряд других положений, приказов, инструкций и актов. Разработанные документы необходимо утвердить.
  5. Обязательно ознакомьте с утвержденными документами всех работников, которые имеют к ним отношение. Например, с положением по неавтоматизированной обработке нужно ознакомить только тех работников, которые работают непосредственно с бумажными документами, содержащими персональные данные.
  6. Основной документ — политику компании в отношении обработки персональных данных — разместите в общедоступном месте, чтобы каждый желающий мог ее прочесть. Лучше всего копию документа разместить на информационном стенде. Если у компании есть сайт, на котором собираются персональные данные пользователей, например, ФИО, телефон и e-mail для регистрации, то на сайте также нужно разместить политику, причем в том месте, где она будет заметна пользователю.
  7. Подайте уведомление в Роскомнадзор об обработке персональных данных. Уведомление оформляется в двух видах — электронном и печатном. 

Чтобы выслать уведомление в электронном виде, нужно на сайте Роскомнадзора заполнить электронную форму. После отправки электронного уведомления, распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.

В течение 30 дней Роскомнадзор рассмотрит ваше уведомление и добавит компанию в реестр операторов. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона №152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.

Проверка Роскомнадзора: на что обращают внимание инспекторы?  

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Какие персональные данные можно обрабатывать без уведомления:

  1. данные, которые обрабатываются в соответствии с трудовым законодательством;
  2. данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  3. данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  4. данные, сделанные субъектом персональных данных общедоступными;
  5. данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
  6. данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
  9. данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.

Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных.

К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует  обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.

6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных.

В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.

В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами.

Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны.

Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

Елена Республиканская

Источник: https://kontur.ru/articles/1775

Как нас проверял РОСКОМНАДЗОР: переживания и неожиданный итог

Роскомнадзор поведет проверки работодателей на предмет защиты персональных данных по новым правилам
sh: 1: –format=html: not found

Что такое Роcкомнадзор?

Роcкомнадзор (Официальный сайт: https://rkn.gov.ru/) – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

В задачи службы входят надзор за соблюдением Российского законодательства в сфере связи, информационных технологий и СМИ, а также надзор по защите персональных данных.

Иногда Роcкомнадзор осуществляет выездные проверки организаций. Так дошло и до учреждения, в котором я работал.

К нам придет роскомнадзор

Роcкомнадзор на официальном сайте размещает план проверок на год. Так мы узнали, что нас будут проверять.

Когда узнали – уволилась начальник отела кадров. Назначили нового. А меня (начальник отдела информационных технологий) дали ей в помощь. Теперь начальник отдела кадров отвечала за организацию, хранение и обработку персональных данных, а мне вменили ответственность за информационные системы персональных данных (ИСПДН).

Мы с отделом кадров изучили законодательство, методические рекомендации, посмотрели опыт проверок и впали в депрессию. В организации никто не занимался учетом законов о персональных данных. Не было никаких согласий, регламентов, распорядков, инструкций – ничего.

Мы попытались сделать документы на основе тех, что были в других организациях, прошедших проверку. Но один и тот же документ в двух однотипных организациях выглядел по-разному. Чем больше мы вникали – тем больше у нас возникало вопросов.

Ближе к проверке нам прислали перечень главных пунктов, на которые ориентируются проверяющие. Это немного помогло понять какие-то базовые вещи. Но в принципе проблему подготовки не решало.

Неожиданное подспорье

За пару недель до проверки с нами связалась компания, которая занимается подготовкой документов для соответствия требованиям закона №152-ФЗ «О персональных данных» и прохождения проверок Роcкомнадзора. Как впоследствии оказалось, такие компании отслеживают план проверок на сайте Роcкомнадзора и предлагают услуги тем, кто в этой «очереди».

Мы согласились. Другого выхода не было. Оплатили доступ в сервис, внесли данные организации, ответственных и т.д. На выходе получили перечень документов (всего около 30 документов).

Первая встреча с сотрудниками Роcкомнадзора

Пришли 2 мужчины. Рассказали о том, как будет проходить процедура проверки. В общем, вся проверка должна была проходить в течение месяца или около того. Смотреть будут документы (перечень указали), беседовать с сотрудниками. Если будут проблемы, то дадут время на исправление. Но все в течение 1 месяца.

По сути, первая встреча была консультационной. Мы задали некоторые организационные вопросы. Кое-что сто из содержательной части. То, что решились спросить.

Вторая встреча с сотрудниками Роcкомнадзора

Второй раз к нам пришли через неделю. За это время проверяющие изучили наши сайты, информационные системы. Ко времени второго прихода мы сделали новый вариант документов, провели учебу с сотрудниками. Мы с кадровичкой были уже подкованными в области работы с персональными данными. По крайней мере – в сравнении с другими сотрудниками.

Что проверяли? Как проверяли?

Один специалист Роскомнадзора принялся изучать документы. А второй пошел беседовать с сотрудниками нашей организации. Я сопровождал гостя.

Первым делом зашли в бухгалтерию. Задал вопросы о том, где хранятся базы данных с персональными данными сотрудниками, как к ним осуществляется доступ, и кто за что отвечает. Я ответил на все интересующие вопросы.

У главного бухгалтера спросили, поздравляет ли организация пенсионеров, дарит ли подарки, деньги на праздник? Главный бухгалтер гордо ответила «Да, конечно, мы помним о наших ветеранах!». И это был «залет». Суть претензии по ветеранам – люди уволились, а персональные данные обрабатываются… Какие основания?

Дальше зашли к завхозу и ответственному за технику безопасности. Про это мы даже и не думали. У них поинтересовались, покупается ли спец. одежда для разнорабочих? Здесь тоже гордо ответили «Да», показали журнал с данными по закупкам, по размерам одежды. И это тоже был залет. Не было согласий, условий хранения этих биометрических ПД (персональных данных).

В общем, куда ни заходил проверяющий – везде находил серьезные проблемы или хотя бы недочеты. А я-то изначально думал, что мы классно подготовились за последнюю неделю! Теперь думал уже о худшем, о многотысячных штрафах, об административной ответственности.

Но нам дали шанс – 2 недели, чтобы все исправить. В том числе и документы, в которых нашли много недочетов.

Последнее посещение Роcкомнадзора

Мы все исправили. В следующий, последний раз – никуда не ходили. Посмотрели исправленные документы. Дали рекомендации, советы. Мы еще задали интересующие вопросы. А также пригласили проверяющего провести беседу с сотрудниками организации.

Что в итоге?

Проверку мы прошли. Никаких официальных претензий, штрафов нам предъявлено не было. Специалист из Роскомнадзора провел, как и обещал, беседу с сотрудниками.

Вопросы по большей части были личные, о том, как вести себя в банке, магазине, как избавить от навязчивых телефонных звонков, на что обратить внимание при работе в Интернет, при регистрации на различных сайтах и сервисах. Профессионал ответил на все вопросы.

Мы готовились к худшему, а получилось все очень даже неплохо!

Я сделал для себя некоторые выводы по результатам проверки Роскомнадзора. Самый важный такой:

Докопаться можно до чего угодно. Но если при проверках ставить во главу угла не штрафы и наказания, а повышение уровня понимания сути законов, выполнение которых проверяется, то будет качественный результат.

И для проверяющих – у них будут организации, где люди разбираются и не нарушают закон. И для самих организаций – они будут знать не только законы, но и понимать в деталях – для чего эти законы создаются.

И это касается любых проверок!

Если понравился материал, то не забудьте кликнуть «палец вверх». Не возражаю, если поделитесь публикацией в соц. сетях.

Подписывайтесь на канал, будет еще много интересного и полезного.

Источник: https://zen.yandex.com/media/self_employed/kak-nas-proverial-roskomnadzor-perejivaniia-i-neojidannyi-itog-5c77b4d88964fb00b3c75b39?feed_exp=ordinary_feed&from=channel&rid=3761384730.512.1572136027113.13951&integration=publishers_platform_yandex

Роскомнадзор начинает проверку работодателей по защите персональных данных. Как подготовиться? | Компания права Респект

Роскомнадзор поведет проверки работодателей на предмет защиты персональных данных по новым правилам

С этого года все работодатели должны быть готовы к проверкам соблюдения ими правил обработки персональных данных. Такие проверки будет проводить Роскомнадзор. Уже готов и вступил в силу регламент данных ревизий. В связи с этим предлагаем ознакомиться с типичными нарушениями, которые могут быть выявлены при подобных проверках, с тем, чтобы не допустить их у себя.

Регламент проведения проверок обращения с персданными

Правительство РФ утвердило правила проверок организаций на предмет того, не нарушают ли они закон при обработке персональных данных своих сотрудников и клиентов-физлиц.

Объект проверки

Проверять будут юрлиц и ИП, являющихся операторами персданных.

Таким образом, контролю подвергнут работодателей, поскольку они являются операторами персданных.

Виды проверок

Ревизии могут проходить в виде:

  1. плановых проверок – выездных и документарных;
  2. внеплановых проверок – выездных;
  3. мероприятий без взаимодействия инспекторов с операторами.

Плановые проверки

Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.

Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.

В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.

Внеплановые проверки

Проводятся на основании:

  •  обращений граждан;
  •  по требованию прокурора;
  •  в случае неисполнения оператором предписания.

Уведомление компании

Роскомнадзор должен уведомить фирму:

  •  о проведении плановой проверки – не позднее чем за 3 рабочих дня:
  •  о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.

Способ уведомления – направление копии приказа о проведении проверки (либо-либо):

  • заказным письмом с уведомлением о вручении;
  • электронным документом с усиленной квалифицированной электронной подписью на электронную почту.

Что будут проверять

Инспекторы проверят:

  • документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 закона о персданных;
  • обработку персданных на предмет ее соответствия установленным требованиям;
  • информационные системы персданных.

Мероприятия без взаимодействия с компанией

Такие мероприятия проводятся на основании заданий на их проведение, утверждаемых руководителем органа Роскомнадзора.

К данным мероприятиям относится контроль за соблюдением компанией требований при размещении информации в сети Интернет и СМИ, а также в федеральных государственных информационных системах.

Постановление Правительства РФ от 13.02.2019 N 146 “Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных”

Примечание редакции:

По итогам таких проверок могут накладываться штрафы по ст. 13.11 КоАП РФ: санкции на юрлиц – от 30 до 75 тыс. рублей. 

Что работодатель должен и не должен знать о работнике

В Трудовом кодексе РФ нет конкретного перечня сведений, относящихся к персональным данным работника. Равно как и нет его и в Законе «О персональных данных». В этом документе есть только их Определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Соответственно, в законодательстве отсутствует список сведений, которые работодатель вправе собирать и хранить в отношении каждого работника.

Вместе с тем в ст. 65 ТК РФ приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу. По этим документам можно понять, какие сведения о работниках компания получает, и соответственно, имеет право обрабатывать, а каких сведений в ее распоряжении оказаться не должно.

Что у компании должно быть

Итак, при приеме на работу работодатель получает персональные данные работника, а именно:

  •  Ф.И.О., возраст, место жительства, семейное положение (из паспорта);
  •  трудовой стаж и предыдущие места работы (из трудовой книжки);
  •  регистрация в органах ПФР (из карточки СНИЛС);
  •  отношение работника к воинскому учету (из документов воинского учета);
  •  образование и квалификация (из дипломов, аттестатов, свидетельств об образовании);
  •  судимость (из справки о ее наличии или отсутствии);
  •  употребление наркотиков (из справки, подтверждающей или опровергающей этот факт).

Чего быть не должно

Требовать от работника другие документы кодекс запрещает, поэтому иных персональных данных сотрудника у организации быть не должно – например, свидетельств о рождении и браке (по крайней мере, при приеме на работу они не требуются).

Также компания не вправе настаивать на том, чтобы сотрудник при заполнении личной карточки (форма утверждена Постановлением Госкомстата РФ от 05.01.2004 № 1 и, кстати, уже давно необязательна), указывал в ней сведения о составе своей семьи, местах рождения и работы своих родственников, номера их телефонов и так далее.

Исключение сделало только для иностранцев и госслужащих. Для них дополнительные документы для трудоустройства определены отдельными федеральными законами.

Кроме того, фирма не должна хранить копии документов, перечисленных в ст. 65 ТК РФ. В кодексе сказано, что оригиналы предоставляются работодателю лишь при заключении трудового договора. Это значит, что после занесения сведений в договор оригинал возвращается, а снимать копии и хранить их кодекс не разрешает.

Положение о порядке обработки персональных данных необходимо

Трудовая инспекция выдала обществу предписание устранить нарушения трудовых прав работников.

Среди них – принять локальный акт, устанавливающий порядок обработки персональных данных сотрудников предприятия.

Общество оспорило предписание, сославшись на то, что вывод о нарушении трудовых прав работников является надуманным. В организации числится лишь один работник, и он же является директором ООО. Выходит, что трудовая инспекция одновременно и защищает права работника, и привлекает его же к ответственности, что недопустимо.

Суд не внял этому аргументу и решил, что в соответствии со ст. 86‒88 ТК РФ у каждого работодателя должен иметься локальный нормативный акт о порядке обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Поэтому у государственного инспектора труда имелись основания для выдачи предписания.

Апелляционное определение Московского городского суда от 06.05.2014 по делу N 33-15735/14

Копии паспортов, военных билетов и свидетельств о рождении хранить нельзя

Роскомнадзор по итогам проверки банка выдал ему предписание устранить нарушения при работе с персональными данными сотрудников. А именно – не хранить в личных делах копии:

  •  паспортов;
  •  военных билетов;
  •  свидетельств о рождении детей;
  •  свидетельств о браке.

Банк обосновал необходимость копий тем, что они нужны ему во исполнение требований действующего законодательства по обеспечению актуализации сведений кадрового и воинского учета.

Кроме того, один из работников представил суду объяснения, что он осознанно и добровольно передал банку на хранение копии паспорта, военного билета, свидетельств о браке и о рождении ребенка.

Однако суд оставил предписание в силе.

Для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом паспорта, в котором содержатся все необходимые сведения.

Хранение копий указанных документов превышает объем обрабатываемых персональных данных работника, действующим законодательством не предусмотрено, нарушает права и свободы гражданина, снижает уровень прав и гарантий работника и противоречит федеральному законодательству.

Более того, у банка отсутствуют законные основания для обработки специальной категории персданных – национальности сотрудников, которая указана в свидетельствах о рождении и браке.

Что касается доводов банка, то хранение и дальнейшее использование копий паспортов и военных билетов, полученных от сотрудников банка при трудоустройстве, не только не обеспечивает точность и актуальность персональных данных, а напротив, может привести к использованию недостоверных сведений. Используя в качестве источников информации такие копии документов, банк не учитывает реальное состояние указанных в них сведений, что свидетельствует о признаках нарушения ст. 5 закона № 152-ФЗ.

Постановление ФАС Северо-Кавказского округа от 21.04.2014 по делу N А53-13327/2013

Примечание редакции:

Другая компания пошла еще дальше – не только хранила копии трудовых книжек, но и выдавала их сотрудникам за плату. В правилах внутреннего трудового распорядка было прямо прописано, что работник вправе получить заверенную копию трудовой книжки. Только один экземпляр – бесплатно, а второй и последующие – за установленную плату.

Трудовая инспекция оштрафовала фирму за это.

Та оспорила штраф, ссылаясь на то, что нарушение если и есть, то малозначительное, ведь плата была невысока и не причинила сотрудника большого ущерба.

Суд решил, что размер платы значения не имеет. Компания в принципе не имела права вводить платную выдачу копий трудовых книжек, что противоречит трудовому законодательству (Постановление Московского городского суда от 29.08.2011 по делу N 4а-1743/11).

Вместе с тем Роструд считает, что с письменного согласия сотрудников компания вправе хранить копии их документов («Доклад с руководством по соблюдению обязательных требований, дающих разъяснение, какое поведение является правомерным, а также разъяснение новых требований нормативных правовых актов за 2 квартал 2017 г.»).

Аналогично можно хранить у себя анкеты соискателей, если от них получено согласие (Апелляционное определение Московского городского суда от 12.02.2019 по делу N 33-5265/2019). 

Фотографии работников без отдельного согласия использовать запрещено

Роскомнадзор по итогам плановой проверки выписал организации (бассейну) предписание с требованием прекратить использование на пропусках клиентов их фотографий.

Нарушение заключалось в том, что бассейн не заручился отдельными письменными согласиями пловцов на обработку их биометрических персональных данных в виде фотоизображений (ст. 11 закона № 152-ФЗ).

Организация возразила:

  1. посетители бассейна давали общее согласие на обработку их персданных;
  2. фотографии к своим пропускам люди прикрепляли добровольно;
  3. пока они плавали, предприятие не занималось цифровой или текстовой обработкой этих фотографий;
  4. закон не относит фотографическое изображение гражданина на бумажном носителе к биометрическим персональным данным, в связи с чем бассейн может использовать фото посетителей и с их устного согласия.

Судьи с этим не согласились.

В соответствии со ст. 11 закона № 152-ФЗ биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Истолковав данное Определение, суд пришел к выводу, что фотографическое изображение, содержащиеся на документе «Пропуск», является биометрическими персональными данными, поскольку характеризует физиологические и биологические особенности человека, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска.

На основании ст. 11 закона о персданных для обработки фотографии необходимо получить отдельное письменное согласие человека, который на ней изображен. Данная статья является специальной по отношению к общей ст. 9 того же закона, на основании которой люди давали общее согласие.

Под обработкой же персданных понимается любое действие с ними.

Определение Верховного Суда РФ от 05.03.2018 N 307-КГ18-101 по делу N А42-342/2017

Примечание редакции:

Источник: https://respectrb.ru/node/20338

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.