Как подготовиться к проверке Роскомнадзора и избежать штрафа. Что проверяет Роскомнадзор и как часто – узнайте в нашей статье.
С 27 июля 2006 года в Российской Федерации действует Федеральный закон № 152-ФЗ «О персональных данных». Этот закон регулирует деятельность многих организаций в стране, а за исполнением требований законодательного акта следит Роскомнадзор. На практике многие организации узнают о хитросплетениях законодательства непосредственно во время аудита, который проводит контролирующий орган.
Федеральная служба по надзору в сфере связи проводит несколько видов аудита. Проверки можно разделить по срокам:
плановые;
внеплановые.
Плановые проверки проводятся по утвержденному Плану, опубликованному на сайте регионального Управления Роскомнадзора в Плане деятельности управления. При плановом аудите служба присылает уведомление о проверке не позднее чем за 3 дня до ее начала.
Внеплановый аудит, как правило, назначается после выявления нарушений в деятельности организации, которая осуществляет сбор и обработку персональных данных пользователей, или жалоб пользователей на незаконную обработку данных. О проведении такой проверки федеральная служба уведомляет всего за 24 часа до ее начала.
Начиная с 2016 года, Роскомнадзор внедрил практику систематического наблюдения. Это значит, что сайт организации – оператора связи – с определенной частотой проверяется на соответствие требованиям № 152-ФЗ. Федеральная служба не публикует список организаций, которые будут подпадать под интерес в выделенный период, но разделяет сферы деятельности, которые находятся под пристальным контролем: это государственные и муниципальные органы, учреждения образования, финансово-кредитные организации, организации здравоохранения и пр.). Если федеральная служба обнаруживает нарушения на сайте в ходе систематического наблюдения, то выносит предписание об их устранении в положенный срок. Кроме того, может быть назначена дополнительная внеплановая проверка.
Аудит может быть документарным. Это значит, что федеральная служба по надзору в сфере связи запрашивает список документов, копии которых требуется предоставить в территориальное управление Роскомнадзора.
Нередко проверка осуществляется в формате инспекционного визита.
Стоит выделить несколько ключевых вопросов, которые во время аудита обращают на себя внимание контролирующего органа:
Наличие Уведомления об обработке персональных данных и соответствие указанной в нем информации. Роскомнадзор отслеживает актуальность Уведомления, поэтому в случае смены цели обработки персональных данных или ответственного лица необходимо предупреждать федеральную службу.
Соответствие документа о защите персональных данных требованиям законодательства. Их достаточно много: в организации должны регулярно проводиться внутренние мероприятия по проверке и защите персональных данных, данные должны уничтожаться по достижении цели их получения и обработки, а доступ к помещениям и носителям информации должен быть контролируемым. Причем все эти действия должны быть подкреплены документально.
Соответствие формы согласия на обработку персональных данных.
Наличие разрешения на обработку специальных категорий персональных данных.
Соблюдение условий Положения о локализации хранения персональных данных.
Осведомленность сотрудников о положениях законодательства РФ о работе с персональными данными и локальными актами организации.
Так как аудит бывает плановым и внеплановым, организациям рекомендуется всегда быть наготове. Кроме того, есть несколько мер, которые помогают подготовиться и пройти аудит.
Можно прибегнуть к помощи сторонних специалистов, которые осуществляют сбор необходимой информации, разработку и утверждение пакета документации. Этот метод подходит для тех, кто только начинает работу. В законодательной базе регулярно фиксируются изменения, а федеральная служба строго следит за соблюдением требований законодательства.
Самостоятельная подготовка к аудиту не всегда проходит успешно, так как отсутствие квалифицированных специалистов и знаний тонкостей законодательства приводят к ошибкам.
Использование специальных сервисов помогает существенно снизить риски ошибок. Например, сервис проверки контрагентов позволяет провести комплексную проверку на благонадежность и снижает потенциальные угрозы для бизнеса.
Внутренняя проверка, которая поможет проанализировать процесс обработки персональных данных в организации. Выделяются список информационных систем, в которых осуществляется процесс сбора и обработки персональных данных, цели обработки, категории данных и субъектов, данные которых собирает организация.
Назначение лиц, ответственны за организацию и процесс сбора персональных данных и их безопасность.
Разработка и утверждение документации, закрепляющей внутренний порядок работы с персональными данными.
Составление и направление уведомления о намерении осуществлять обработку и сбор данных в Роскомнадзор.
Специальные инструменты, в число которых входит и сервис проверки контрагентов, упрощают процесс сбора и обработки персональных данных и повышают безопасность этого процесса для бизнеса.
При выявлении нарушений федеральная служба по надзору в сфере связи оформляет акт с предписание об устранении и передает информацию в суд. Нарушения в области персональных данных караются штрафами от Роскомнадзора в размере до 200 000 рублей должностным лицам, до 6 000 000 рублей – организациям.
Успешно пройти проверку вполне реально, для этого важно разработать полный пакет документации, регулярно его актуализировать и изучать успешный опыт прохождения аудита сторонними организациями, работающими в смежных сферах.