Проверки роскомнадзора на 2023 год
Содержание
Проверки роскомнадзора на 2023 год
Вопрос: Согласно п. 1 ч. 1 ст. 17 Федерального закона от 1 апреля 2023 г. N 98-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам предупреждения и ликвидации чрезвычайных ситуаций», Правительство РФ в 2023-2023 году вправе принимать решения, предусматривающие особенности организации и осуществления видов государственного контроля (надзора) и муниципального контроля, в отношении которых применяются положения Федерального закона от 26 декабря 2008 года N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», включая особенности осуществления видов государственного контроля (надзора), указанных в частях 3.1 и 4 статьи 1 указанного Федерального закона.
Относительно проведения проверок Роскомнадзором и территориальными органами Роскомнадзора сообщаем, что деятельность в указанной части Роскомнадзора и территориальных органов Роскомнадзора регулируется Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденными постановлением Правительства Российской Федерации от 13.02.2023 N 146.
Постановлением Правительства Российской Федерации от 30.11.2023 N 1969 «Об особенностях формирования ежегодных планов проведения плановых проверок юридических лиц и индивидуальных предпринимателей на 2023 год, проведения проверок в 2023 году и внесении изменений в пункт 7 Правил подготовки органами государственного контроля (надзора) и органами муниципального контроля ежегодных планов проведения плановых проверок юридических лиц и индивидуальных предпринимателей» (далее — Постановление) установлены особенности проведения проверок в 2023 году и согласно п. 7 указанного Проставления при формировании ежегодных планов в них не включаются плановые проверки в отношении юридических лиц и индивидуальных предпринимателей, отнесенных в соответствии со статьей 4 Федерального закона «О развитии малого и среднего предпринимательства в Российской Федерации» к субъектам малого предпринимательства, сведения о которых включены в единый реестр субъектов малого и среднего предпринимательства (далее — субъекты малого предпринимательства).
Однако Федеральный закон от 26.12.2008 № 294-ФЗ не распространяется на проверки в области персональных данных, а Федеральный закон от 31.07.2023 № 248-ФЗ регулирует их проведение только в тех случаях, когда они проводятся без взаимодействия с организацией или индивидуальным предпринимателем.
По мнению ведомства, мораторий, установленный постановлением Правительства РФ от 30.11.2023 № 1969 на проведение плановых проверок в 2023 году в отношении субъектов малого предпринимательства (СМП), также распространяется на проверки в области персональных данных. При этом, как мы уже писали ранее, по мнению Генпрокуратуры России, мораторий на проведение плановых проверок в отношении СМП в 2023 году распространяется только на те виды надзора и контроля, которые регулируются действующим Федеральным законом от 26.12.2008 № 294-ФЗ, а с 1 июля 2023 года Федеральным законом от 31.07.2023 № 248-ФЗ.
Напомним, что деятельность Роскомнадзора и его территориальных органов по проведению проверок регулируется Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденными постановлением Правительства РФ от 13.02.2023 № 146.
Сначала проверяют документы. На предприятие отправляется запрос, на который необходимо ответить в течение 10 дней. Предприниматель предоставляет копии документов, заверенные подписью и печатью. Свидетельство нотариуса не требуется. Если в документах содержится вся необходимая для разъяснения ситуации информация, то до выездной инспекции дело не дойдет.
Трудовой Кодекс РФ дает нам такое толкование термина: персональные данные — сведения, которые необходимо передать работодателю для осуществления служебных обязанностей. Например , это паспортные данные, номер телефона, адрес и даже факты биографии (образование, опыт работы, семейное положение).
- Убедитесь, что ранее вы подавали в Роскомнадзор уведомление об обработке персональных данных. Подавать его нужно прежде, чем начинать деятельность, и опоздание уже становится поводом для штрафа. На практике Роскомнадзору почти всегда удается доказать, что каждый работодатель является оператором персональных данных. Какие бы факты он ни приводил в доказательство обратного.
- Проверьте, соответствует ли ваша текущая деятельность указанному в едином реестре. Уточните содержание заявления, которое вы ранее подавали в Роскомнадзор и при необходимости внесите в него изменения. Необходимую для этого форму можно скачать на сайте Роскомнадзора. Именно несоответствие этих данных и фактической деятельности выступает самой распространенной причиной штрафа от Роскомнадзора. Например, даже назначение другого ответственного за обработку персональных данных сотрудника уже становится основанием для штрафа.
- Назначьте ответственного за обработку персональных данных, вместе с ним приступайте к подготовке всех документов, сопровождающих путь персональных данных от сбора, до хранения и уничтожения.
- Обязательно оформите «Политику компании в отношении обработки персональных данных». Вы можете дать документу другое название, но суть в том, что он станет основополагающим сводом правил и инструкций в интересующем Роскомнадзор вопросе.
- Подготовьте к проверке всех сотрудников. Ознакомьте их с документами по работе с персональными данными. Установите четкие правила поведения с инспекторами, если ожидается выездная проверка. Очень часто у проверяющих возникают вопросы к простым работникам. Отработайте с ними тактику «глухой защиты» – ничего не говорить, ничего не подписывать без присутствия руководителя. Вы действительно имеете на это право.
- Проверьте, как и где вы храните бумаги, особенно ксерокопии паспортов, кто имеет к ним доступ.
- Проверьте материально-техническое оснащение офиса: замки на важных помещениях, наличие сейфов для документов.
- Воспользуйтесь специальными онлайн-сервисами для подготовки документов. Они бывают совсем бесплатными или коммерческими, но в любом случае дешевле офлайн специалиста. Особенно если вы практически не знакомы с законодательством о персональных данных, сервисы дадут исключительно актуальные подсказки по подготовке.
Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки.
Результат проверки можно обжаловать. Сделать это можно как письменно, так и устно (например, в ходе личного приема или по телефону – подробности можно найти на сайте территориального органа Роскомнадзора). Рассматривается жалоба в течение месяца.
Проверка Роскомнадзора одна из самых сложных в плане подготовки. Данные – вещь нематериальная, для обеспечения безопасности их недостаточно положить в сейф под ключ. Нужно привести в порядок огромный пакет документов, и не удивительно, что сделать это самостоятельно, не упустив ничего из виду, задача не из легких.
Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 марта 2023 г
Вопрос: Согласно п. 1 ч. 1 ст. 17 Федерального закона от 1 апреля 2023 г. N 98-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам предупреждения и ликвидации чрезвычайных ситуаций», Правительство РФ в 2023-2023 году вправе принимать решения, предусматривающие особенности организации и осуществления видов государственного контроля (надзора) и муниципального контроля, в отношении которых применяются положения Федерального закона от 26 декабря 2008 года N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», включая особенности осуществления видов государственного контроля (надзора), указанных в частях 3.1 и 4 статьи 1 указанного Федерального закона.
Относительно проведения проверок Роскомнадзором и территориальными органами Роскомнадзора сообщаем, что деятельность в указанной части Роскомнадзора и территориальных органов Роскомнадзора регулируется Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденными постановлением Правительства Российской Федерации от 13.02.2023 N 146.
Постановлением Правительства Российской Федерации от 30.11.2023 N 1969 «Об особенностях формирования ежегодных планов проведения плановых проверок юридических лиц и индивидуальных предпринимателей на 2023 год, проведения проверок в 2023 году и внесении изменений в пункт 7 Правил подготовки органами государственного контроля (надзора) и органами муниципального контроля ежегодных планов проведения плановых проверок юридических лиц и индивидуальных предпринимателей» (далее — Постановление) установлены особенности проведения проверок в 2023 году и согласно п. 7 указанного Проставления при формировании ежегодных планов в них не включаются плановые проверки в отношении юридических лиц и индивидуальных предпринимателей, отнесенных в соответствии со статьей 4 Федерального закона «О развитии малого и среднего предпринимательства в Российской Федерации» к субъектам малого предпринимательства, сведения о которых включены в единый реестр субъектов малого и среднего предпринимательства (далее — субъекты малого предпринимательства).
Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.
Подготовку лучше начать с того, что изучить план проверок Роскомнадзора на 2023 год. Если в нём нет нужной организации, значит, в этом году можно не бояться. О плановой проверке дополнительно приходит предупреждение за 3 дня до неё, но на всякий случай лучше держать документы в порядке постоянно.
Какие данные имеют статус персональных? На самом деле, любые, которые имеют отношение к человеку. В эту категорию попадает всё от имени и фамилии до анализа ДНК и налоговых долгов. Они необходимы для работы организаций, кроме тех, что работают полностью анонимно.
Первый шаг – назначение ответственного. За обработку и безопасность персональных данных должны отвечать уполномоченные сотрудники. В зависимости от размера фирмы это может быть руководитель, бухгалтер или кадровик, который занимается этим в качестве дополнительной ответственности, либо специально нанятый для этого сотрудник или отдел.
- предприятие получает уведомление (при плановой проверке – за 3 дня, при внеплановой – за сутки), в нём указывается дата проведения и номер приказа;
- при документарной проверке (только плановой) высылается запрос и перечень документов, которые нужно представить. Руководитель высылает копии, заверенные своей подписью;
- при выездной проверке (плановой или внеплановой, может следовать за документарной, если выявлены недочёты) приезжают два инспектора, которые проверяют соответствие документов реальному положению дел;
- контролирующий орган выносит решение и даёт предписания;
- предприятие выполняет предписания.
Выходит, ФСБ и ФСТЭК могут проверять только организации, эксплуатирующие государственные информационные системы. Для остальных информационных систем контроль в законе не закреплен. Сказано лишь, что ФСТЭК И ФСБ «решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер…, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных…».
Второй шаг – выяснение, с какими именно данными имеет дело предприятие. Ответственный за персональные данные должен знать, что именно он собирает и для чего. На основании этого руководитель составляет внутренние инструкции по работе с персональными данными и разрабатывает политику их обработки. С этими документами должны быть ознакомлены все сотрудники, для которых это важно. Последний шаг – уведомление Роскомнадзора, что предприятие работает с персональными данными людей.
Первый шаг – назначение ответственного. За обработку и безопасность персональных данных должны отвечать уполномоченные сотрудники. В зависимости от размера фирмы это может быть руководитель, бухгалтер или кадровик, который занимается этим в качестве дополнительной ответственности, либо специально нанятый для этого сотрудник или отдел.
В части 8 статьи 19 федерального закона «О персональных данных» закреплен важный момент: «Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных».
Что проверяет Роскомнадзор по персональным данным? На этот вопрос можно ответить также – всё. Организациям нужны персональные карточки, чтобы определять собственных сотрудников и контрагентов, но на каждый вид требуется согласие того, кому эти данные принадлежат.
23 Фев 2023 uristinhome 207