Что проверяет Роскомнадзор по персональным данным?

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что проверяет Роскомнадзор по персональным данным?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Роскомнадзор проводит проверку на основании административного регламента государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее — Административный регламент Роскомнадзора) и имеет право запросить абсолютно любые сведения, касающиеся предмета проверки.

Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.

В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.

Давайте подытожим, что нам нужно сделать, чтобы подготовиться к проверке РКН по вопросам выполнения законодательства в сфере защиты персональных данных и успешно ее пройти.

1. Проанализировать необходимость подачи уведомления оператора ПДн. Проверить наличие уведомления, проверить корректность информации в уведомлении. Внести изменение в уведомление, при необходимости.
2. Провести подробную инвентаризацию обрабатываемых персональных данных, информационных систем персональных данных, законность обработки различных персональных данных, технологические процессы обработки персональных данных и т. д. Эта информация нам понадобится при разработке документов.
3. Назначить ответственных.
4. Разработать комплект документации по защите персональных данных. Документация должна быть конкретизированной в отношении определенной организации и/или определенной ИСПДн. Уделяя время разработке документации по защите и обработке ПДн в информационных системах, не забыть о регламентировании неавтоматизированной обработки ПДн.
5. Опубликовать политику в отношении обработки персональных данных на сайте (хотя допускается и другой вид организации беспрепятственного доступа к документу, если вы не гос- или муниципальный орган).
6. Ознакомить всех причастных сотрудников с разработанной документацией.
7. Заполнить журналы.
8. Проинструктировать своих сотрудников о том, что проверяющим не нужно говорить лишнего и о том, что не нужно разбрасывать документы с ПДн по всему офису.
9. Вести себя корректно с проверяющими. Выразить свою готовность исправлять мелкие недочеты в процессе проверки.

Подготовка по требованиям 152-ФЗ и подготовка к проверке Роскомнадзора: отличия

Глобальная проблема состоят в том, что закон не устанавливает точный перечень организационно-распорядительной документации, которую требуется разработать для соответствия закону и тем более перечень документов, которые запрашиваются на проверке. Роскомнадзор, как и любой другой регулятор, имеет право запросить не только конкретные документы, но и сведения, которые должны быть оформлены в виде справок от организации (в бумажном виде). Поэтому пакет документов для соответствия требованиям закона (около 40 документов) и пакет документов для прохождения проверки Роскомнадзора (плюс еще около 20 документов) отличаются, т.е. пакет для прохождения проверки более полный (итого около 60 документов).

Также нужно учесть, что в зависимости от территориального органа состав запрашиваемых документов может разниться.

Даже в зависимости от проверяющих требования отличаются («человеческий фактор»). По итогу, не имея опыта прохождения проверки Роскомнадзора, без обращения к компетентной организации – пройти проверку практически невозможно.

Шпаргалка для предпринимателя, к которому пришла проверка

1. Попросите инспекторов показать удостоверения и документы на проведение проверки, перепишите данные.
2. Уточните повод для проверки и просмотрите законодательные акты, которыми руководствуются инспекторы.
3. Вызовите юриста, который проконтролирует действия проверяющих.
4. Ограничьте передвижения проверяющих по офису. Сразу проводите их в комнату, где они будут встречаться с сотрудниками и проверять документы фирмы.
5. Узнайте, что именно будут проверять инспекторы и какие документы им нужны.
6. Проинструктируйте сотрудников, чтобы они не отвечали на вопросы проверяющих, не выдавали и не подписывали никаких документов.
7. Записывайте на видео процесс проверки и отмечайте все нарушения.

Как проходит проверка

Предупреждают за 3 дня, после чего приходят, показывают служебное удостоверение и вручают копию приказа о проведении проверки. Там должны быть указаны:

• время и место проверки: наименование организации или магазина, его адрес и учредительные данные (ИНН, ОГРН (ОГРНИП) и так далее);
• фамилии, имена и отчества инспекторов, проводящих проверку;
• предмет проверки: что конкретно и в каком объеме проверяют;
• основание проверки: жалоба покупателя, подошедший срок плановой проверки;
• сроки проведения проверки. Плановые мероприятия не могут продолжаться более 20 дней;
• другая информация, установленная нормативными документами.

Самое главное – помнить, что гражданин в соответствии со статьей 51 Конституции РФ имеет право не свидетельствовать против себя самого, супруга (супруги) и близких родственников и отказаться по этой причине от дачи объяснений. Если Вы отказались от объяснений Вас не могут привлечь к административной или уголовной ответственности.

Неоднозначную формулировку, которая Вам кажется безобидной, проверяющие будут трактовать так, как это выгодно им. Поэтому любые объяснения давайте вдумчиво и взвешенно. Часто работников опрашивают по-отдельности в разных кабинетах. При этом не стоит поддаваться на такую уловку: в ходе опроса, например, финансового директора проверяющий заявляет, что «генеральный все сказал» и скрывать сведения нет никакого смысла. И наоборот.

Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»

Обработка персональных данных работника, государственного служащего не требует получения соответствующего согласия указанных лиц, при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством Российской Федерации о государственной гражданской службе.

Работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 Трудового кодекса РФ.

Кроме того, получение работодателем согласия на обработку персональных данных не требуется в следующих случаях:

1. Обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, предусмотрена законодательством Российской Федерации.

К примеру, согласно п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети Интернет, об осуществляемой медицинской деятельности и о медицинских работниках, об уровне их образования и об их квалификации.

В соответствии с Правилами размещения в сети Интернет и обновления информации об образовательном учреждении, утвержденными постановлением Правительства Российской Федерации от 18.04.2012 N 343, образовательное учреждение должно размещать на своем официальном сайте в сети Интернет и обновлять в сроки, установленные Законом Российской Федерации от 10.07.1992 N 3266-1 «Об образовании», в том числе информацию, содержащую следующие персональные данные: фамилия, имя, отчество учредителя образовательного учреждения, его место нахождения, график работы, адрес электронной почты, фамилия, имя, отчество руководителя образовательного учреждения, его место нахождения, график работы, адрес электронной почты, справочные телефоны, фамилии, имена, отчества, должности руководителей структурных подразделений, включая филиалы и представительства, места их нахождения, графики работы, адреса электронной почты, информация о персональном составе педагогических (научно-педагогических) работников, их фамилии, имена, отчества, занимаемые должности, их уровень образования, квалификация, наличие ученой степени, ученого звания.

Соответствующие обязательства также установлены Федеральным законом от 09.02.2009 N 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», согласно которому государственные органы и органы местного самоуправления обязаны обеспечить доступ к информации о своей деятельности, в том числе к сведениям о руководителях государственного органа, его структурных подразделений, территориальных органов и представительств за рубежом (при наличии), руководителях органа местного самоуправления, его структурных подразделений, руководителях подведомственных организаций (фамилии, имена, отчества, должности, рабочие телефоны). Иная информация может указываться только при согласии указанных лиц.

2. Обработка персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой N Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 N 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).

В иных случаях, получение согласия близких родственников работника является обязательным условием обработки их персональных данных.

3. Обработка специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Федерального закона «О персональных данных» в рамках трудового законодательства.

4. При передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.

Работодатель, согласно ст. 22 Трудового кодекса Российской Федерации, обязан осуществлять обязательное социальное страхование работников в порядке, установленном федеральными законами, в частности Федеральным законом «Об обязательном пенсионном страховании в Российской Федерации, Федеральным законом «Об основах обязательного социального страхования, Федеральным законом «Об обязательном медицинском страховании в Российской Федерации».

Таким образом, передача персональных данных работников в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации осуществляется без их согласия.

Согласие работника, государственного служащего не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 25.04.1997 N 490, нормативными правовыми актами в сфере транспортной безопасности).

Под исключения, связанные с отсутствием необходимости получения согласия, подпадают случаи передачи работодателем персональных данных работников, государственных служащих в налоговые органы, военные комиссариаты, профсоюзные органы, предусмотренные действующим законодательством Российской Федерации.

Так, в соответствии со ст. ст. 17, 19 Федерального закона от 12.01.1996 N 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности» для осуществления своей уставной деятельности профсоюзы вправе бесплатно и беспрепятственно получать от работодателей, их объединений (союзов, ассоциаций), органов государственной власти и органов местного самоуправления информацию по социально-трудовым вопросам, в том числе осуществлять контроль за соблюдением работодателями, должностными лицами законодательства о труде, по вопросам трудового договора (контракта), рабочего времени и времени отдыха, оплаты труда, гарантий и компенсаций, льгот и преимуществ, а также по другим социально-трудовым вопросам в организациях, в которых работают члены данного профсоюза, и имеют право требовать устранения выявленных нарушений.

Согласие работника не требуется при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.

Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

Проблема № 2. Отказ работника дать согласие

Еще одна проблема, с которой сталкиваются компании, — это отказ работника дать согласие на обработку персональных данных. Причины такого поведения могут быть разными: правовая неграмотность, конфликт с работодателем, понимание того, что согласие составлено некорректно, и т. д. Главное, что независимо от мотивов работника работодатель не вправе принудить его к даче согласия (ответ на сайте «онлайнинспекция.рф» на вопрос от 22.05.2017 № 86474). То же касается и соискателей: факт отказа от дачи согласия не может быть формальным основанием для отказа в приеме на работу (консультация эксперта Минтруда от 16.11.2016).

Само по себе отсутствие согласия вовсе не означает, что работодатель не сможет обрабатывать персональные данные работника. Обработка без согласия возможна, если она нужна для исполнения обязанностей работодателя по закону, исполнения условий трудового договора, защиты интересов работодателя в суде и в иных случаях, указанных в ч. 2 ст. 9 Закона № 152-ФЗ. Другими словами, если вы обрабатываете только те данные работника, которые необходимы для исполнения трудового договора, согласие на это не требуется.

• Судебная практика
• Работник требовал взыскать с компании компенсацию морального вреда. Требования обосновывал тем, что работодатель не получил его согласие на обработку персональных данных. Суд встал на сторону компании. Обработка персональных данных работников необходима работодателю в связи с трудовыми отношениями и осуществляется им в целях исполнения трудового договора. При таких условиях согласие работника на обработку данных не обязательно. Работник-истец не представил доказательств того, что работодатель-ответчик не соблюдает конфиденциальность, не обеспечивает безопасность персональных данных при их обработке, а также того, что указанные действия ответчика повлекли нарушения прав и свобод истца (апелляционное определение Оренбургского областного суда от 21.06.2017 по делу № 33–4566/2017).

Если же цель обработки персональных данных под случаи, указанные в ч. 2 ст. 9 Закона № 152-ФЗ, не подпадает, обрабатывать информацию без согласия работника нельзя.

Передача персональных данных работника за границу, провайдерам, включение этих данных в различные сторонние IT-системы требуют согласия работника.

Совет. Если работник отказывается дать согласие, проверьте, можете ли вы обрабатывать данные без него. Если нет, поговорите с работником и попытайтесь выяснить причину отказа. Разъясните работнику последствия его действий — например, невозможность предоставления не предусмотренных законом дополнительных льгот. Если, несмотря на все ваши попытки, работник согласия не даст, не обрабатывайте персональные данные в случаях, когда по закону обработка без согласия невозможна.

Проблема № 4. Локализация персональных данных

Суть локализации в том, чтобы при сборе персональных данных граждан России обеспечить их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, которые находятся на территории нашей страны (ч. 5 ст. 18 Закона № 152-ФЗ). Другими словами, серверы систем и программ, в которых первоначально собираются данные работников или кандидатов, должны находиться в России.

Столкнуться с необходимостью локализации данных работодатель может при использовании корпоративной электронной почты, глобальной кадровой системы, например Workday и т. п. При этом не стоит думать, что правило о локализации затрагивает только организации, которые входят в международные группы компаний, и филиалы иностранных фирм. Требование о локализации распространяется и на российских работодателей.

В ч. 5 ст. 18 Закона № 152-ФЗ указаны исключения из правила о локализации данных. В том числе соблюдать это требование необязательно, если оператор обрабатывает данные для достижения предусмотренных законом целей или выполняет функции, полномочия и обязанности, которые возложены на него законом. Но на практике такие исключения могут трактоваться очень узко, и многие процессы во взаимодействии работника и работодателя под исключения не подпадают. Поскольку штрафы за нарушение правила локализации огромные — от 1 до 18 млн ₽, то лучше не рисковать и первоначально собирать информацию о работниках в базы, находящиеся в России.

Бухгалтерия работает с документами, где есть персональная информация. Самый высокий штраф, который грозит за нарушение, – 75 000 руб. Чтобы избежать санкций, смотрите в памятке, за какие действия с персональными данными могут наказать бухгалтера.

Чтобы требование о локализации соблюдалось, процесс обработки персональных данных нужно построить следующим образом.

1. Персональные данные изначально собираются в базе данных, расположенной в России. Например, в локальной IT-системе или в структурированном файле на локальном компьютере работодателя.

2. Изменения в персональные данные вносятся через российскую базу данных.

3. После того как данные локализованы в российской базе данных, их можно передавать в любые глобальные системы, расположенные за границей, при условии соблюдения требований о передаче данных.

В третьем пункте речь идет о том, что передавать данные нужно на основании согласия работника или иного законного основания. На практике чаще всего требуется согласие субъекта, причем в определенных законом случаях оно должно быть письменным и содержать все пункты, указанные в ч. 4 ст. 9 Закона № 152-ФЗ. Так, письменное согласие необходимо, если вы будете передавать:

• данные третьим лицам;
• данные в страны, не обеспечивающие адекватную защиту данных, например в США;
• специальные категории данных. Например, данные о здоровье, расовой, национальной принадлежности, что иногда требуется в рамках программ diversity.

Кроме того, чтобы передать данные за границу, необходим договор о передаче данных или соответствующие договорные положения, включенные в ГПД между работодателем и получающей стороной, например организацией, предоставляющей кадровую программу, или зарубежной компанией группы.

Чтобы выстроить процесс обработки данных в соответствии с указанным порядком, можно привлечь специализированную стороннюю компанию или поручить организацию первичной базы данных одному из работников или отделов компании. Чтобы разработать подходящий работодателю способ обработки данных, к процессу нужно привлечь юристов, IT-специалистов и кадровиков, так как решение в каждом случае зависит от процессов, применимых у конкретного работодателя.

Совет. Проверьте, какие IT-системы для обработки данных российских граждан вы используете и где находятся серверы баз данных. Если за границей, то перестройте процесс так, чтобы первоначально данные собирались в России. Кроме того, проверьте документы, регулирующие обработку данных в таких системах и передачу данных в рамках указанных процессов (согласия, договоры о передаче данных, ЛНА), при необходимости скорректируйте их или разработайте недостающие документы.

Как проверяет Роскомнадзор?

Существуют плановые и внеплановые проверки, которые проводятся как в отношении тех организаций, которые включены в реестр Роскомнадзора, так и тех, что не включены. Плановые проверки более безобидные, так как о том, что вас проверят, оповестят заранее (не позднее чем за три дня), а по внеплановым проверкам — всего за 24 часа. Роскомнадзор в конце каждого года публикует на своем сайте план проверок на следующий календарный год и проверяет в соответствии с ним.

Для организации все начинается с уведомления, которое приходит по почте России. В нем Роскомнадзор уведомляет о намерении проверить и кратко сообщает, что именно будет проверять. Также в уведомлении сообщается состав проверочной комиссии, дата и срок выездной проверки. Срок проверки обычно составляет 20 рабочих дней, но это не значит, что все 20 дней у вас будет сидеть комиссия, а говорит лишь о дедлайне проверки. Комиссия, как правило, приезжает всего 2-3 раза: первый раз — запросить документы, второй раз — забрать документы и третий раз — выдать акт о проверке с замечаниями и предписанием на устранение нарушений. Нередко сразу выписываются протоколы об административных правонарушениях.

По факту объем запрашиваемых документов и методика самой проверки сильно варьируются в зависимости от того или иного территориального управления Роскомнадзора.

Кратко порядок проверки выглядит так:

1. Уведомление оператора о проведении плановой проверки путем направления копии приказа руководителя Роскомнадзора о проверке почтой России. Уведомление должно поступить оператору не позднее трех рабочих дней до начала ее проверки (при плановой проверке), что очень мало, чтобы успеть к ней подготовиться.
2. Далее в указанный в уведомлении день проверки приезжает комиссия, как правило, в составе 2-3 человек для осуществления государственного контроля.
3. На месте проверки комиссия запрашивает и рассматривает документы, имеющиеся у оператора «под рукой», и выдает список документов для предоставления оператором до окончания срока проверки. Непредоставление оператором запрошенных документов расценивается как несоответствие требованию закона, и выписывается штраф, а также предписание на устранение нарушений.
4. По результатам рассмотрения представленных оператором к проверке документов Роскомнадзор составляет акт проверки, предписание об устранении выявленных нарушений, а также протоколы об административных нарушениях в отношении оператора.
5. По окончании срока предписания об устранении выявленных нарушений назначается повторная внеплановая проверка. В случае неустранения нарушений деятельность организации приостанавливается.

Смотреть весь список

Свернуть
Роскомнадзор осуществляет проверку в соответствии с Административным регламентом Роскомнадзора и имеет право:

1. Выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных.
2. Составлять протоколы об административном правонарушении или направлять в органы прокуратуры и другие правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях, а также о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.
3. Обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных.
4. Использовать технику и оборудование, принадлежащие службе или ее территориальному органу.
5. Запрашивать и получать необходимые документы (сведения) для достижения целей проведения проверки.
6. Получать доступ к информационным системам персональных данных в режиме просмотра и выборки необходимой информации.
7. Направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.
8. Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации в области персональных данных.
9. Требовать от Оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.
10. Привлекать экспертов и экспертные организации при проведении контрольно-надзорных мероприятий, а также для анализа полученных материалов.

Согласно документу, у Роскомнадзора будет информация лишь о факте передаче данных через мобильный интернет, но сам трафик он отслеживать не сможет. Исходя из этого, абоненты, не желающие делиться с ведомством информацией о своих звонках, могут переключиться на использование мессенджеров.

Популярные в России сервисы, например, WhatsApp и Telegram, имеют встроенное сквозное (end to end) шифрование голосовых вызовов. Информацию о том, с кем пользователи ведут текстовую переписку, Роскомнадзор тоже не сможет узнать по запросу оператору связи – ему для этого нужно будет обращаться непосредственно к владельцам мессенджера.

К слову, Telegram российские власти пытались блокировать в апреле 2021 г., но сервис продолжал работать, и в июне 2021 г. «блокировка» была отменена. Также существуют специализированные мессенджеры, во главу угла ставящие именно приватность. В их число, помимо прочих, входит Signal.

• Присоединяйтесь к вебинару «Новое поколение серверов HPE ProLiant Gen10 Plus»

• Короткая ссылка
• Распечатать

Особенности подготовки к проверке

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.

Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

1. Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
2. Проверка соответствия деятельности информации, прописанной в едином реестре.
3. Назначение лица, ответственного за работу с ПД.
4. Составление Политики фирмы в отношении обработки ПД.
5. Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
6. Проверка правильности хранения документов, ограниченности доступа к ним.
7. Проверка системы безопасности: наличие замков и сейфов.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.

Кого проверяет Роскомнадзор

В соответствие с Положением о Роскомнадзоре (постановление Правительства №228 от 16.03.2009 года), Служба осуществляет контроль и надзор деятельности операторов персональных данных в части выполнения ними требований действующего законодательства.

Оператор персональных данных (ОПД) – любая организация, ИП, физлицо, федеральных или муниципальный орган власти, который каким-либо образом взаимодействует с личной (персональной) информацией третьих лиц.

В состав персональной информации включаются:

• паспортные данные;
• ИНН;
• место проживания;
• информация о составе семьи;
• данные о фактическом местонахождении;
• банковские реквизиты;
• личная информация из автобиографии.

Таким образом, Роскомнадзор вправе проверить:

• любого работодателя, который консолидирует личную информацию о сотрудниках;
• компанию сферы ИТ, которая занимается обработкой персональных данных пользователя;
• фирму, которая собирает заявки от клиентов путем анкетирования (в том числе через интернет-сайт или электронную почту).

Порядком предусмотрено проведение Роскомнадзором как плановых, так и внеплановых проверок. Плановые проверки осуществляются согласно утвержденному графику. Внеплановые проверки могут проводится на основании жалоб, поступивших в Роскомнадзор в части нарушения ОПД требований действующего законодательства.

Как проводят выездную проверку

Выездную проверку проводят по месту работы или регистрации бизнеса. Если оператор персональных данных — физлицо без регистрации ИП, выездной проверки у него быть не может.

Когда начинается выездная проверка, представитель Роскомнадзора показывает удостоверение и приказ с информацией о сроках, основаниях и целях проверки. Еще до того как начнут проверять, оператору вручат запрос о представлении документов. Раньше такого не было. На подготовку документов дадут минимум два дня.

Во время проверки нужно предоставить проверяющим доступ в помещения и к компьютерам. Если мешать проверке, составят акт и пригласят полицию.

Если проверка придет и никого не застанет по указанному адресу, сроки приостановят. Если и потом никто не объявится, с внеплановой проверкой смогут прийти в любое другое время вообще без предупреждения.

Похожие записи:

• Выплаты ветеранам труда Тульской области в 2023 году
• Льготы пенсионерам по налогу на имущество в 2023 году
• Как выглядет ИНН в 2023 году на ООО