Роскомнадзор проверка

Что такое Роcкомнадзор?

Роcкомнадзор (Официальный сайт: https://rkn.gov.ru/) — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

В задачи службы входят надзор за соблюдением Российского законодательства в сфере связи, информационных технологий и СМИ, а также надзор по защите персональных данных.

Иногда Роcкомнадзор осуществляет выездные проверки организаций. Так дошло и до учреждения, в котором я работал.

К нам придет РОСКОМНАДЗОР

Роcкомнадзор на официальном сайте размещает план проверок на год. Так мы узнали, что нас будут проверять.

Когда узнали — уволилась начальник отела кадров. Назначили нового. А меня (начальник отдела информационных технологий) дали ей в помощь. Теперь начальник отдела кадров отвечала за организацию, хранение и обработку персональных данных, а мне вменили ответственность за информационные системы персональных данных (ИСПДН).

Мы с отделом кадров изучили законодательство, методические рекомендации, посмотрели опыт проверок и впали в депрессию. В организации никто не занимался учетом законов о персональных данных. Не было никаких согласий, регламентов, распорядков, инструкций – ничего.

Мы попытались сделать документы на основе тех, что были в других организациях, прошедших проверку. Но один и тот же документ в двух однотипных организациях выглядел по-разному. Чем больше мы вникали – тем больше у нас возникало вопросов.

Ближе к проверке нам прислали перечень главных пунктов, на которые ориентируются проверяющие. Это немного помогло понять какие-то базовые вещи. Но в принципе проблему подготовки не решало.

Неожиданное подспорье

За пару недель до проверки с нами связалась компания, которая занимается подготовкой документов для соответствия требованиям закона №152-ФЗ «О персональных данных» и прохождения проверок Роcкомнадзора. Как впоследствии оказалось, такие компании отслеживают план проверок на сайте Роcкомнадзора и предлагают услуги тем, кто в этой «очереди».

Мы согласились. Другого выхода не было. Оплатили доступ в сервис, внесли данные организации, ответственных и т.д. На выходе получили перечень документов (всего около 30 документов).

Первая встреча с сотрудниками Роcкомнадзора

Пришли 2 мужчины. Рассказали о том, как будет проходить процедура проверки. В общем, вся проверка должна была проходить в течение месяца или около того. Смотреть будут документы (перечень указали), беседовать с сотрудниками. Если будут проблемы, то дадут время на исправление. Но все в течение 1 месяца.

По сути, первая встреча была консультационной. Мы задали некоторые организационные вопросы. Кое-что сто из содержательной части. То, что решились спросить.

Вторая встреча с сотрудниками Роcкомнадзора

Второй раз к нам пришли через неделю. За это время проверяющие изучили наши сайты, информационные системы. Ко времени второго прихода мы сделали новый вариант документов, провели учебу с сотрудниками. Мы с кадровичкой были уже подкованными в области работы с персональными данными. По крайней мере – в сравнении с другими сотрудниками.

Что проверяли? Как проверяли?

Один специалист Роскомнадзора принялся изучать документы. А второй пошел беседовать с сотрудниками нашей организации. Я сопровождал гостя.

Первым делом зашли в бухгалтерию. Задал вопросы о том, где хранятся базы данных с персональными данными сотрудниками, как к ним осуществляется доступ, и кто за что отвечает. Я ответил на все интересующие вопросы.

У главного бухгалтера спросили, поздравляет ли организация пенсионеров, дарит ли подарки, деньги на праздник? Главный бухгалтер гордо ответила «Да, конечно, мы помним о наших ветеранах!». И это был «залет». Суть претензии по ветеранам – люди уволились, а персональные данные обрабатываются… Какие основания?

Дальше зашли к завхозу и ответственному за технику безопасности. Про это мы даже и не думали. У них поинтересовались, покупается ли спец. одежда для разнорабочих? Здесь тоже гордо ответили «Да», показали журнал с данными по закупкам, по размерам одежды. И это тоже был залет. Не было согласий, условий хранения этих биометрических ПД (персональных данных).

В общем, куда ни заходил проверяющий — везде находил серьезные проблемы или хотя бы недочеты. А я-то изначально думал, что мы классно подготовились за последнюю неделю! Теперь думал уже о худшем, о многотысячных штрафах, об административной ответственности.

Но нам дали шанс — 2 недели, чтобы все исправить. В том числе и документы, в которых нашли много недочетов.

Последнее посещение Роcкомнадзора

Мы все исправили. В следующий, последний раз – никуда не ходили. Посмотрели исправленные документы. Дали рекомендации, советы. Мы еще задали интересующие вопросы. А также пригласили проверяющего провести беседу с сотрудниками организации.

Что в итоге?

Проверку мы прошли. Никаких официальных претензий, штрафов нам предъявлено не было. Специалист из Роскомнадзора провел, как и обещал, беседу с сотрудниками. Вопросы по большей части были личные, о том, как вести себя в банке, магазине, как избавить от навязчивых телефонных звонков, на что обратить внимание при работе в Интернет, при регистрации на различных сайтах и сервисах. Профессионал ответил на все вопросы.

Мы готовились к худшему, а получилось все очень даже неплохо!

Я сделал для себя некоторые выводы по результатам проверки Роскомнадзора. Самый важный такой:

Докопаться можно до чего угодно. Но если при проверках ставить во главу угла не штрафы и наказания, а повышение уровня понимания сути законов, выполнение которых проверяется, то будет качественный результат. И для проверяющих – у них будут организации, где люди разбираются и не нарушают закон. И для самих организаций – они будут знать не только законы, но и понимать в деталях — для чего эти законы создаются. И это касается любых проверок!

Если понравился материал, то не забудьте кликнуть «палец вверх». Не возражаю, если поделитесь публикацией в соц. сетях.

Подписывайтесь на канал, будет еще много интересного и полезного.

О нас

Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.
В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.

Чего там нового в законодательстве?

По теме проверок по защите персональных данных было написано немало статей и многие из них вышли раньше 2015 года. Чтобы как-то въехать в настоящие реалии, в первую очередь необходимо проанализировать, что же поменялось за последние годы в законодательстве.

242-ФЗ

Сначала давайте вспомним небезызвестный 242-ФЗ. В 2015 году он наделал много шуму в связи с необходимостью локализации персональных данных граждан РФ на территории РФ. Спустя четыре года единственным крупным пострадавшим от этого закона является социальная сеть Linkedin.
Но была в 242-ФЗ и другая сторона, не растиражированная так активно в СМИ.
В 242-ФЗ были очень важные в контексте проводимых РКН проверок по персональным данным изменения: на деятельность Роскомнадзора в сфере защиты прав субъектов персональных данных с 1 сентября 2015 года не распространяется федеральный закон №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
Что это значит? Для операторов персональных данных, как можно догадаться, – ничего хорошего. Теперь, как уже показала практика, — сильно уменьшилось количество плановых проверок и соразмерно увеличилось количество внеплановых. Об этом говорят и планы проверок Роскомнадзора, опубликованные в конце 2015 года (и в последующих годах) на сайте ведомства. Плановых проверок по персональным данным там — раз, два и обчелся, в отличие от предыдущих годов.
Основная проблема внеплановых проверок в том, что о них нельзя узнать с хорошим временным запасом и, как следствие, — нельзя как можно лучше подготовиться. Например, раньше, когда публиковался план проверок, каждый мог скачать его и узнать, находится ли организация в нем или нет. И врасплох можно было застать только те немногие организации, дата проверки у которых значилась январем-февралем. Остальные имели возможность нормально подготовиться, даже если до этого момента в организации по защите персональных данных совсем ничего не делалось. Сейчас лучше, конечно же, быть готовым к проверке Роскомнадзора по персональным данным в любой момент, то есть всегда держать наготове актуальный комплект документации по защите персональных данных.

13.11 КоАП РФ

Другое важное законодательное изменение это изменение статьи 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных». Эти изменения полностью преобразовали наказание за нарушение законодательства в сфере защиты персональных данных. Ранее статья 13.11 не разбивалась на части, и максимальный штраф был предусмотрен в размере 10 тысяч рублей для юридических лиц. Сейчас же здесь имеется 7 частей (да еще и планируется расширение), по одной из которых (нарушение правил обработки специальных категорий персональных данных) предусмотрен максимальный штраф для юридических лиц – 75 000 рублей. К тому же, при выявлении проверяющими разных нарушений – наказания по разным частям статьи КоАП теоретически могут складываться. Почему «теоретически»? Раньше на сайтах региональных управлений РКН в разделе «Новости» постоянно публиковались новости о том, что регулятор проверил условно 3 организации на выполнение законодательства о персональных данных, у организации №1 все хорошо, организацию №2 оштрафовали на 3 тысячи рублей, организацию №3 оштрафовали на 5 тысяч рублей. Можно было собрать такие новости в кучу за год и подбить некоторую статистику по штрафам. Сейчас же таких новостей нет. Если у кого-то имеются данные по штрафам за нарушение 152-ФЗ после изменений в 13.11 КоАП РФ, то можете поделиться такой информацией в комментариях.

Здесь стоит сразу отметить, что в первоначальном тексте законопроекта по изменению статьи 13.11 КоАП РФ изначально фигурировали более значительные суммы штрафов, например, там где в итоге максимальный штраф был установлен в 75 000 рублей, изначально планировалось наказывать аж на 300 000 рублей. Солидно, но до сумм за нарушение GDPR все равно далеко. Но, несмотря на то, что суммы штрафов в итоге сильно уменьшились, к сожалению, некоторые продавцы услуг по защите персональных данных до сих пор пытаются запугать цифрой «300 000». Будьте бдительны.
Итак, мы убедились, что возросшая вероятность внеплановой проверки и многократно возросшие штрафы за нарушение 152-ФЗ неплохо так стимулируют быть готовыми к проверке в любой момент. Давайте же разбираться, что нам нужно для этого сделать.

Виды проверок

Прежде чем мы перейдем к непосредственным шагам по подготовке к проверкам, давайте посмотрим, какие виды проверок бывают и как проходит типичная проверка.
В целом, проверки можно разделить на 2 вида: документарные и выездные.

Документарные проверки

Документарная проверка чаще всего начинается с того, что в организацию приходит письмо из местного управления РКН с каким-либо требованием. Если в вашей организации, например, не подавали уведомление о её внесении в реестр операторов персональных данных, то вам могут напомнить, о том, что неплохо бы это уведомление все-таки подать. Закон ведь требует. Или обосновать, почему ваша организация может обрабатывать персональные данные без уведомления (в 152-ФЗ предусмотрен ряд исключений). Если уведомление ваша организация всё же подавала, то вам могут напомнить о том, что в реестре время от времени появляются новые поля и их тоже необходимо заполнять. Например, необходимо указать местонахождение ЦОДа и то, является ли он арендуемым или собственным. И да, база данных 1С на компьютере главбуха в понимании Роскомнадзора это ЦОД.
О заполнении уведомленияПрактика показывает, что у многих операторов персональных данных возникают вопросы — как правильно заполнять те или иные поля уведомления. О самом уведомлении оператора персональных данных мы немного поговорим в этой статье, но вот туториал по заполнению уже тянет на отдельную.
Вас также могут попросить прислать по почте копии документов, регламентирующих защиту персональных данных в организации — приказы, инструкции, модель угроз и вот это все.
Итак, вы получили такое письмо от Роскомнадзора, что делать?
На самом деле тут проще сказать чего категорически не следует делать — игнорировать эти письма. К сожалению, на практике многие поступают именно так. Кто-то забывает ответить, кто-то не знает, что писать в ответ и не отвечает, а кто-то надеется, что про них забудут и все спустится само собой на тормозах. Нет, не забудут, не в этом случае.
Может у каких-то ведомств и распространена такая практика — написать письмо в организацию «для галочки» и забыть, но только не у РКН. Поэтому отвечать желательно в установленный в письме срок, иначе организация будет наказана по статье 19.7 КоАП РФ «Непредставление или несвоевременное представление сведений информации в государственный орган». Можно зайти на сайт своего регионального управления Роскомнадзора (%номер _региона%.rkn.gov.ru) в раздел «Новости». В 2016 году добрая половина новостей была посвящена привлечению юридических лиц к ответственности по той самой статье КоАП РФ. Причем в каждой новости могло фигурировать до 10-15 организаций. Сейчас такие новости тоже есть, но меньше, связано это, скорее всего с тем, что сам РКН стал менее активно рассылать «письма счастья».
Штраф по 19.7 КоАП РФ небольшой — 3-5 тысяч рублей, но тут нужно помнить, что после того как вы заплатите штраф, затребованные в изначальном письме сведения все равно придется предоставить.
Скриншот сайта Управления Роскомнадзора по Приморскому краю, 2016 год
Если по содержанию присланного вам письма что-то непонятно, то в конце обычно указан исполнитель письма и его контактные данные. Всегда можно позвонить и уточнить, что же регулятор все-таки от вас хочет.
Про документарные проверки, пожалуй, добавить нечего, перейдем к выездным.

Выездные проверки

Из самого названия уже становится ясно, что проверяющие как минимум два-три раза окажутся на вашей территории. По нашему опыту можем сказать, что процесс проверки выглядит примерно так:

• проверяющие приезжают в организацию, знакомятся с руководителем, вручают ему уведомление о проверке, делают запись в журнале проверок юридического лица контролирующими органами (отсутствие такого журнала, кстати, это уже нарушение);
• затем представители РКН просят предоставить документацию, которая имеется в организации по защите персональных данных, тут-то вы и тащите всю эту гору документов — приказы, инструкции, положения, политики, модель угроз;
• бегло ознакомившись с составом документов, проверяющие либо просят выделить им помещение, где они будут их изучать, либо просят предоставить копии всей документации и удаляются в свои кабинеты изучать предоставленную вами информацию;
• в процессе ознакомления с документами могут возникать вопросы по их содержанию или пожелания по внесению в них каких-либо изменений;
• в один из дней проверки, представители РКН обязательно пройдутся по кабинетам, где обрабатываются персональные данные, осмотрят места хранения ПДн на бумажных носителях — шкафы, сейфы, полки (тут наверняка вам намекнут на необходимость приобретения запираемых железных шкафов, если ПДн хранятся как-то иначе), также могут посмотреть информационную систему;
• в конце проверяющими делается запись в том же журнале учета проверок об итогах проверки (выявлены замечания или нет) и вручается акт по итогам проверки.

Здесь, пожалуй, стоит рассказать о том, что нужно помнить во время проведения выездной проверки.
Во-первых, ни в коем случае не нужно идти с проверяющими на конфликт и как-либо препятствовать проведению проверки («терять» ключ от кабинета с документами и тому подобные уловки). Да, проверяющие тоже могут ошибаться. Яркий пример такой ошибки, связанной с чрезмерным увлечением запретами всего и вся случилась у нас в Приморском крае в 2015-2016 годах. Синдром вахтера никто не отменял, и в процессе проверки могут предъявляться совершенно противоправные и необоснованные требования. Но это никак не отменяет простых правил человеческого общения. Если вы с чем-то не согласны, выскажите это спокойно, попросите ссылку на законодательство, чем обусловлено сомнительное требование.
Во-вторых, неважно какие претензии будут высказаны проверяющими во время проверки, важно только то, что будет написано в акте по итогам проведенной проверки. Приведу простой пример, на одной из проверок представители РКН утверждали, что необходимо разделять информационные системы персональных данных «Бухгалтерия» и «Кадры» и в документах соответственно их описывать раздельно. Требование совершенно ничем не подкреплено законодательно, а само определение ИСПДн из 152-ФЗ не запрещает объединять информационные системы и описывать их так, как мы этого сами захотим. Мы можем в лечебном учреждении объединить документально систему с медицинскими данными с теми же кадробухами, и сказать, что это у нас одна ИСПДн. Правда в этом случае нужно помнить, что вероятно кадробухов придется защищать по более высокому уровню защищенности персональных данных, который будет определен для части информационной системы с медициной. Но вот бухгалтерию отделять от кадров и для каждой системы отдельно плодить горы приказов, инструкций и моделей угроз даже с точки зрения здравого смысла совсем не правильно. Так вот, главное в этой истории то, что в акте по итогам проверки было написано «нарушений законодательства не было выявлено». И это перечеркивает все словесные неправомерные замечания проверяющих.
В-третьих, обязательно необходимо проинструктировать всех своих сотрудников, участвующих в обработке каких-либо персональных данных что можно, а что нельзя делать и говорить во время проверки. Например, можно обрабатывать ПДн в соответствии с инструкциями и правилами, но нельзя разбрасывать на рабочем столе копии паспортов сотрудников.

Уведомление оператора персональных данных

Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:

• уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
• уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
• персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

Стоит заметить, что и здесь есть подводные камни. Например, сейчас многие организации, особенно государственные, реализуют зарплатные проекты по перечислению кровнозаработанных рублей сотрудникам прямиком на банковские карты. Это очень удобно и для работодателей и для сотрудников, и банку тоже выгодно. Но при осуществлении такого проекта, как ни крути, приходится передавать данные своих сотрудников в банк. И такая передача персональных данных третьим лицам уже не регламентируется трудовым законодательством, а значит, первое исключение из списка выше не работает, следовательно, нужно подавать уведомление об обработке персональных данных в Роскомнадзор.

Как проверить наличие уведомления в реестре и что делать дальше

Далее, не зависимо от того, какой результат мы получили на предыдущем этапе, нужно проверить, есть ли запись о вашей организации в реестре операторов персональных данных. Здесь легко можно найти запись в реестре по названию или ИНН организации.
Дальше ваши действия должны выглядеть примерно следующим образом.
Если организация попадает под исключения и уведомления нет — отлично, так и должно быть! Ничего не делаем.
Если организация попадает под исключения, но уведомление есть в реестре. Что ж, возможно кто-то несколько лет назад, например, по указанию уже ушедшего на пенсию руководителя, направил это уведомление. Но это можно исправить. Предусмотрена процедура по исключению организаций из реестра операторов ПДн. Для этого нужно просто написать письмо в территориальное управление Роскомнадзора с указанием номера уведомления и описанием причин, почему ваша организация не обязана находиться в реестре операторов персональных данных. Затем в том же письме просим удалить соответствующую запись из реестра. Ждем 30 дней. Проверяем. Если запись осталась в реестре, созваниваемся с Роскомнадзором и уточняем получено ли и отработано ли ваше письмо.
Если организация не попадает под исключения, но уведомления в реестре нет — срочно идем заполнять уведомление! Почему срочно? Да потому что по закону уведомление необходимо заполнять до начала обработки персональных данных, если такая обработка не попадает под все те же исключения из 22 статьи закона №152-ФЗ «О персональных данных». О том, как правильно и грамотно заполнить уведомление с нуля или прокачать уже существующее планируется одна из следующих статей.
Ну и последний вариант: организация не попадает под исключения, но уведомление в реестре есть. Хотел бы я тут написать, как и в первом случае, что ничего не нужно делать, но нет. Не зря я выше сказал, что помимо отсутствия уведомления как такового, одной из частых причин предписания по итогам проверки и выписывания штрафа по статье 13.11 КоАП РФ является несоответствие данных в уведомлении тому, что происходит на самом деле. Например, указаны не все категории обрабатываемых персональных данных или не указаны меры по обеспечению безопасности ПДн. Причин такому несоответствию может быть много, но вот две основные:

• уведомление заполнялось давно и в организации действительно с тех пор изменились многие условия обработки персональных данных;
• уведомление заполнялось для галочки без должного анализа ситуации и сбора информации.

Для таких случаев на портале персональных данных предусмотрена форма для внесения изменений в существующее уведомление.
После заполнения формы о внесении изменений (или первичного уведомления) необходимо распечатать получившийся на выходе документ, подписать, поставить печать (если есть) и отправить аналоговым письмом в территориальное управление Роскомнадзора. Только на основании бумажного письма будет внесена запись в реестр или внесены изменения в уже существующую запись.

Документация к проверке

Хотелось оставить этот торжественный момент на конец статьи. Но что уж там, раз уже перешли к разговору о комплекте необходимой документации, то вот ссылка на наш комплект шаблонов. В архиве 4 папки и шаблон «Модели угроз». Здесь мы будем говорить только о документах из папок «Общее» и «ПДн». «Общее» — это документы, которые могут применяться плюс-минус для любых информационных систем, а «ПДн» это чисто роскомнадзоровская часть. Полное описание состава документов в архиве можно посмотреть у нас на сайте.
Статья получилась итак достаточно объемная, поэтому разбирать из каких конкретно требований появился тот или иной документ (или раздел документа) здесь не будем. Это тема для отдельной статьи. Давайте пройдемся по общим моментам.

Состав документов

Итак, первым делом перед специалистом, которому поручили подготовиться к грядущей проверке встает вопрос – а какие вообще документы нужны. Специалист обращается к законодательству и… Не находит практически ничего полезного. Ну не то чтобы прям совсем ничего. Да, наверное, специалист наткнется на постановление Правительства РФ от 21.02.2012 №211 и скажет: «Вот, вы были не правы, вот, есть же список документов!». Да, есть. Только специалиста здесь ждет своего рода ловушка. Если обзавестись только документами из этого списка, организация получит предписание по итогам проверки, потому что список не перекрывает и малой части требований законодательства. Плюс в списке встречаются такие несуразности как, например, необходимость отдельно утверждать перечень ИСПДн. Зачем для этого делать отдельный документ, когда можно перечислить ИСПДн в «Положении об обработке и защите ИСПДн» или в «Политике информационной безопасности» — непонятно. Ну и наконец, постановление №211 относится только к государственным и муниципальным органам, поэтому к большинству операторов ПДн – не применимо. И, кстати, в нашем наборе документов по постановлению 211 нет, так как большинство вопросов итак учтены в других документах.
Хорошо, давайте посмотрим, что там у нас есть еще в законодательстве.
В федеральном законе «О персональных данных» напрямую говорится только о необходимости разработки «Модели угроз безопасности» (хотя «напрямую» тоже не совсем верно сказано, в законе написано, что нужно определять угрозы безопасности ПДн) и о публикации «Политики в отношении обработки персональных данных».
О процессе разработки Модели угроз мы, возможно, также подробнее напишем в одной из последующих статей.
Все остальное описано неоднозначно, примерно в таком духе:
Оператор обязан принимать меры… К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
…
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
И так далее. Поскольку прямого указания выпускать тот или иной документ нет, читать и понимать 152-ФЗ следует именно так: если написано про осуществление внутреннего контроля, то для выполнения этого требования должны быть разработаны документы, определяющие план, порядок такого контроля, а также некие акты или журналы, в которых отражены результаты контроля. Проверяющих не устроит рассказ о том, что вы выполнили требование по назначению ответственного за организацию обработки персональных данных просто устно обозначив такую ответственность одному из сотрудников. Должен быть документ! В этом конкретном случае — приказ о назначении такого ответственного.
Если есть ответственный, то ему полагается инструкция – за что он отвечает, и какие у него есть права и полномочия. Часто такую инструкцию называют «должностной», что на наш взгляд в большинстве случаев не совсем правильно. Ведь «ответственный за организацию обработки персональных данных» это, как правило, не отдельная должность, а лишь дополнительная обязанность, которая возлагается на того или иного сотрудника.
В общем и целом нам необходимо досконально изучить законодательство по защите персональных данных, выискивая намеки на необходимость наличия различных документов. При этом можно написать одно «Положение об обработке и защите персональных данных», а можно сделать отдельно «Положение об обработке…» и «Положение о защите…». Здесь уже как кому больше нравится.

Проверки, осуществляемые контролирующими органами (плановая и внеплановая проверки)

Федеральным законом от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (далее – Федеральный закон № 294-ФЗ, Закон о проверках) устанавливаются, в частности:

1) порядок организации и проведения проверок юридических лиц, индивидуальных предпринимателей органами, уполномоченными на осуществление государственного контроля (надзора), муниципального контроля;

2) порядок взаимодействия органов, уполномоченных на осуществление государственного контроля (надзора), муниципального контроля, при организации и проведении проверок;

3) права и обязанности органов, уполномоченных на осуществление государственного контроля (надзора), муниципального контроля, их должностных лиц при проведении проверок;

4) права и обязанности юридических лиц, индивидуальных предпринимателей при осуществлении государственного контроля (надзора), муниципального контроля, меры по защите их прав и законных интересов.

Организация и проведения плановой проверки

Предметом плановой проверки является соблюдение юридическим лицом, индивидуальным предпринимателем в процессе осуществления деятельности совокупности предъявляемых обязательных требований и требований, установленных муниципальными правовыми актами, а также соответствие сведений, содержащихся в уведомлении о начале осуществления отдельных видов предпринимательской деятельности, обязательным требованиям.

Плановые проверки проводятся на основании разрабатываемых и утверждаемых органами государственного контроля (надзора), органами муниципального контроля в соответствии с их полномочиями ежегодных планов.

Ежегодный сводный план проведения плановых проверок формируется Генеральной прокуратурой РФ и размещается на официальном сайте Генеральной прокуратуры РФ в сети «Интернет» в срок до 31 декабря текущего календарного года. Сводный план проверок на 2017 г. размещен по адресу: http://plan.genproc.gov.ru/plan2017/.

Плановые проверки проводятся не чаще чем 1 раз в 3 года, за исключением случаев:

• осуществления деятельности в сфере здравоохранения, сфере образования, в социальной сфере, в сфере теплоснабжения, в сфере электроэнергетики, в сфере энергосбережения и повышения энергетической эффективности. В отношении юридических лиц, индивидуальных предпринимателей, осуществляющих деятельность в вышеуказанных сферах, плановые проверки могут проводиться не менее 2-х раз в 3 года.

Перечень видов деятельности, в отношении осуществления которых плановые проверки проводятся с установленной периодичностью, утвержден Постановлением Правительства РФ от 23.11.2009 г. N 944.

• осуществления деятельности, в отношении проведения проверок которой применяется риск-ориентированный подход. В таком случае периодичность проведения плановых проверок устанавливается Положением о конкретном виде контроля (надзора) в зависимости от отнесения объекта контроля (надзора) к определенной категории риска или определенному классу опасности.

Основание для включения проверки в ежегодный план — истечение 3 лет со дня:

• государственной регистрации юридического лица, ИП;
• окончания проведения последней плановой проверки юридического лица, ИП;
• начала осуществления юридическим лицом, ИП предпринимательской деятельности в соответствии с представленным уведомлением о начале осуществления отдельных видов предпринимательской деятельности в случае выполнения работ или предоставления услуг, требующих представления указанного уведомления.

Перечень работ и услуг в составе отдельных видов предпринимательской деятельности, форма и порядок представления уведомленияПлановая проверка проводится в форме документарной проверки и (или) выездной проверки в порядке, предусмотренном ст. 11 и 12 Закона о проверках. утверждены Постановлением Правительства РФ от 16.07.2009 г. N 584 (ред. от 04.03.2017 г.) «Об уведомительном порядке начала осуществления отдельных видов предпринимательской деятельности».

Положением о конкретном виде надзора (контроля) может быть предусмотрена обязанность использования при проведении плановой проверки должностным лицом органа государственного контроля (надзора), органа муниципального контроля проверочных листов (списков контрольных вопросов), требования к которым утверждены Постановлением Правительства РФ от 13.02.2017 г. N 177.

Проверочные листы включают в себя перечни вопросов, ответы на которые однозначно свидетельствуют о соблюдении или несоблюдении юридическим лицом, ИП обязательных требований, составляющих предмет проверки. Утвержденные формы проверочных листов подлежат опубликованию на официальных сайтах контролирующих органов.

О проведении плановой проверки юридическое лицо, ИП уведомляются органом государственного контроля (надзора), органом муниципального контроля не позднее чем за 3 рабочих дня до начала ее проведения посредством направления копии распоряжения или приказа руководителя, заместителя руководителя контролирующего органа о начале проведения плановой проверки заказным почтовым отправлением с уведомлением о вручении и (или) посредством электронного документа, подписанного усиленной квалифицированной электронной подписью и направленного по адресу электронной почты юридического лица, ИП, если такой адрес содержится в ЕГРЮЛ, ЕГРИП либо ранее был представлен юридическим лицом, ИП в орган государственного контроля (надзора), орган муниципального контроля, или иным доступным способом.

Организация и проведение внеплановой проверки

Предметом внеплановой проверки является соблюдение юридическим лицом, ИП в процессе осуществления деятельности обязательных требований и требований, установленных муниципальными правовыми актами, выполнение предписаний органов государственного контроля (надзора), органов муниципального контроля, проведение мероприятий по предотвращению причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, объектам культурного наследия народов РФ, музейным предметам и музейным коллекциям, включенным в состав Музейного фонда РФ, особо ценным, в том числе уникальным, документам Архивного фонда РФ, документам, имеющим особое историческое, научное, культурное значение, входящим в состав национального библиотечного фонда, по обеспечению безопасности государства, по предупреждению возникновения чрезвычайных ситуаций природного и техногенного характера, по ликвидации последствий причинения такого вреда.

Основания для проведения внеплановой проверки:

• Истечение срока исполнения юридическим лицом, ИП ранее выданного предписания об устранении выявленного нарушения обязательных требований и (или) требований, установленных муниципальными правовыми актами.
  • Поступление в орган государственного контроля (надзора), орган муниципального контроля заявления от юридического лица или ИП о предоставлении правового статуса, специального разрешения (лицензии) на право осуществления отдельных видов деятельности или разрешения (согласования) на осуществление иных юридически значимых действий.
• мотивированное представление должностного лица контролирующего органа по результатам анализа результатов мероприятий по контролю без взаимодействия с предпринимателями, рассмотрения или предварительной проверки поступивших в контролирующие органы обращений и заявлений граждан, ИП, юридических лиц, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:

а) возникновение угрозы причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, объектам культурного наследия народов РФ, предметам Музейного фонда РФ, особо ценным документам Архивного фонда РФ, документам национального библиотечного фонда, безопасности государства, а также угрозы чрезвычайных ситуаций природного и техногенного характера;

б) причинение вреда вышеуказанным объектам, а также возникновение чрезвычайных ситуаций природного и техногенного характера;

Внеплановая выездная проверка юридических лиц, ИП по основаниям, указанным в подпунктах «а» и «б», проводится органами государственного контроля (надзора), органами муниципального контроля после согласования с органом прокуратуры по месту осуществления деятельности таких юридических лиц, индивидуальных предпринимателей.

в) нарушение прав потребителей (в случае обращения в орган, осуществляющий федеральный государственный надзор в области защиты прав потребителей, граждан, права которых нарушены, при условии, что заявитель обращался за защитой (восстановлением) своих нарушенных прав к предпринимателю и такое обращение не было рассмотрено либо требования заявителя не были удовлетворены);

2.1) выявление при проведении мероприятий без взаимодействия с предпринимателями при осуществлении видов контроля (надзора), в отношении которых применяется риск-ориентированный подход, параметров деятельности предпринимателя, соответствие которым или отклонение от которых согласно утвержденным индикаторам риска является основанием для проведения внеплановой проверки.

• приказ (распоряжение) руководителя органа государственного контроля (надзора), изданный в соответствии с поручениями Президента РФ, Правительства РФ и на основании требования прокурора о проведении внеплановой проверки в рамках надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.

Анонимные обращения не могут служить основанием для проведения внеплановой проверки. При наличии обоснованных сомнений в авторстве обращения или заявления должностное лицо контролирующего органа обязано принять разумные меры к установлению обратившегося лица.

При рассмотрении обращений и заявлений должны учитываться результаты рассмотрения ранее поступивших подобных обращений и заявлений, а также результаты ранее проведенных мероприятий по контролю в отношении соответствующих юридических лиц, ИП.

При отсутствии достоверной информации о лице, допустившем нарушение обязательных требований, достаточных данных о нарушении обязательных требований может быть проведена предварительная проверка поступившей информации. В ходе проведения предварительной проверки принимаются следующие меры:

• запрос дополнительных сведений и материалов у лиц, направивших заявления, обращения, представивших информацию;
• рассмотрение документов юридического лица, ИП, имеющихся в распоряжении контролирующего органа;
• при необходимости проводятся мероприятия по контролю, осуществляемые без взаимодействия с предпринимателями и без возложения на указанных лиц обязанности по представлению информации и исполнению требований контролирующих органов;
• запрос у предпринимателей пояснений в отношении полученной информации, но представление таких пояснений и иных документов не является обязательным.

Внеплановая проверка проводится в форме документарной и (или) выездной проверки.

По общему правилу юридическое лицо, ИП уведомляются органом государственного контроля (надзора), органом муниципального контроля о проведении внеплановой проверки не менее чем за 24 часа до начала ее проведения любым доступным способом, в том числе посредством электронного документа, подписанного усиленной квалифицированной электронной подписью и направленного по адресу электронной почты юридического лица, ИП, если такой адрес содержится в ЕГРЮЛ, ЕГРИП либо ранее был представлен в контролирующий орган.

Проверяемые лица не уведомляются о начале внеплановой выездной проверки в следующих случаях:

• если в результате деятельности предпринимателя причинен или причиняется вред жизни, здоровью граждан, вред животным, растениям, окружающей среде, объектам культурного наследия народов РФ, музейным предметам и музейным коллекциям, включенным в состав Музейного фонда РФ, особо ценным, в том числе уникальным, документам Архивного фонда РФ, документам, имеющим особое историческое, научное, культурное значение, входящим в состав национального библиотечного фонда, безопасности государства, а также возникли или могут возникнуть чрезвычайные ситуации природного и техногенного характера;
• при организации и проведении мероприятий по государственному надзору в области обеспечения качества и безопасности пищевых продуктов, материалов и изделий в отношении предпринимателей, осуществляющих производство пищевой продукции, и (или) оборот пищевой продукции, и (или) оказание услуг общественного питания (ч. 2 ст. 13 Федерального закона от 02.01.2000 N 29-ФЗ «О качестве и безопасности пищевых продуктов»);
• в случае выявления должностными лицами антимонопольного органа нарушений в результате проводимого наблюдения за соблюдением обязательных требований (ч. 6 ст. 35.1 Федерального закона от 13.03.2006 г. N 38-ФЗ «О рекламе»);
• в иных установленных законом случаях.

Срок проведения проверки

Срок проведения каждой из проверок (документарной и выездной) не может превышать 20 рабочих дней.

В отношении одного субъекта малого предпринимательства общий срок проведения плановых выездных проверок не может превышать:

• 50 часов в год — для малого предприятия;
• 15 часов в год — для микропредприятия.

В исключительных случаях (при необходимости проведения сложных и (или) длительных исследований, испытаний, специальных экспертиз и расследований на основании мотивированных предложений должностных лиц контролирующего органа, проводящих выездную плановую проверку), срок проведения выездной плановой проверки может быть продлен руководителем такого органа:

• не более чем на 20 рабочих дней;
• не более чем на 50 часов в отношении малых предприятий;
• не более чем на 15 часов в отношении микропредприятий.

Срок проведения документарной и выездной проверок в отношении юридического лица, которое осуществляет свою деятельность на территориях нескольких субъектов РФ, устанавливается отдельно по каждому филиалу, представительству, обособленному структурному подразделению юридического лица, при этом общий срок проведения проверки не может превышать 60 рабочих дней.

Права предпринимателя при проведении проверки

Руководитель, иное должностное лицо или уполномоченный представитель юридического лица, ИП, его уполномоченный представитель при проведении проверки имеют право:

• непосредственно присутствовать при проведении проверки, давать объяснения по вопросам, относящимся к предмету проверки;
• получать от органа государственного контроля (надзора), органа муниципального контроля, их должностных лиц информацию, которая относится к предмету проверки и предоставление которой предусмотрено настоящим Законом о проверках;
• знакомиться с документами и (или) информацией, полученными органами государственного контроля (надзора), органами муниципального контроля в рамках межведомственного информационного взаимодействия от иных государственных органов, органов местного самоуправления либо подведомственных государственным органам или органам местного самоуправления организаций, в распоряжении которых находятся эти документы и (или) информация;
• представлять документы и (или) информацию, запрашиваемые в рамках межведомственного информационного взаимодействия, в орган государственного контроля (надзора), орган муниципального контроля по собственной инициативе;
• знакомиться с результатами проверки и указывать в акте проверки о своем ознакомлении с результатами проверки, согласии или несогласии с ними, а также с отдельными действиями должностных лиц органа государственного контроля (надзора), органа муниципального контроля;
• обжаловать действия (бездействие) должностных лиц органа государственного контроля (надзора), органа муниципального контроля, повлекшие за собой нарушение прав юридического лица, индивидуального предпринимателя при проведении проверки, в административном и (или) судебном порядке в соответствии с законодательством РФ;
• привлекать Уполномоченного при Президенте РФ по защите прав предпринимателей либо уполномоченного по защите прав предпринимателей в субъекте РФ к участию в проверке;
• иные права в соответствие с главой 3 Закона о проверках.

Ограничения при проведении проверки

При проведении проверки должностные лица органа государственного контроля (надзора), органа муниципального контроля не вправе:

• проверять выполнение обязательных требований и требований, установленных муниципальными правовыми актами, если такие требования не относятся к полномочиям органа государственного контроля (надзора), органа муниципального контроля, от имени которых действуют эти должностные лица;

1.1) проверять выполнение требований, установленных нормативными правовыми актами органов исполнительной власти СССР и РСФСР, а также выполнение требований нормативных документов, обязательность применения которых не предусмотрена законодательством Российской Федерации;

1.2)проверять выполнение обязательных требований и требований, установленных муниципальными правовыми актами, не опубликованными в установленном законодательством РФ;

• осуществлять плановую или внеплановую выездную проверку в случае отсутствия при ее проведении руководителя, иного должностного лица или уполномоченного представителя юридического лица, ИП, его уполномоченного представителя, за исключением случая:
• проверки по факту причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства;
• проверки по факту возникновения чрезвычайных ситуаций природного и техногенного характера;
• проверки соблюдения требований земельного законодательства в случаях надлежащего уведомления собственников земельных участков, землепользователей, землевладельцев и арендаторов земельных участков;
• требовать представления документов, информации, образцов продукции, проб обследования объектов окружающей среды и объектов производственной среды, если они не являются объектами проверки или не относятся к предмету проверки, а также изымать оригиналы таких документов;
• отбирать образцы продукции, пробы обследования объектов окружающей среды и объектов производственной среды для проведения их исследований, испытаний, измерений без оформления протоколов об отборе указанных образцов, проб по установленной форме и в количестве, превышающем нормы, установленные национальными стандартами, правилами отбора образцов, проб и методами их исследований, испытаний, измерений, техническими регламентами или действующими до дня их вступления в силу иными нормативными техническими документами и правилами и методами исследований, испытаний, измерений;
• распространять информацию, полученную в результате проведения проверки и составляющую государственную, коммерческую, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством РФ;
• превышать установленные сроки проведения проверки;
• осуществлять выдачу юридическим лицам, ИП предписаний или предложений о проведении за их счет мероприятий по контролю;
• требовать от юридического лица, индивидуального предпринимателя представления документов и (или) информации, включая разрешительные документы, имеющиеся в распоряжении иных государственных органов, органов местного самоуправления либо подведомственных государственным органам или органам местного самоуправления организаций, включенные в определенный Правительством Российской Федерации перечень;
• требовать от юридического лица, индивидуального предпринимателя представления документов, информации до даты начала проведения проверки. Орган государственного контроля (надзора), орган муниципального контроля после принятия распоряжения или приказа о проведении проверки вправе запрашивать необходимые документы и (или) информацию в рамках межведомственного информационного взаимодействия.

Порядок оформления результатов проверки

По результатам проверки должностными лицами органа государственного контроля (надзора), органа муниципального контроля, проводящими проверку, составляется акт по установленной форме в 2-х экземплярах.

В акте проверки указываются:

• дата, время и место составления акта проверки;
• наименование органа государственного контроля (надзора) или органа муниципального контроля;
• дата и номер распоряжения или приказа руководителя, заместителя руководителя органа государственного контроля (надзора), органа муниципального контроля;
• фамилии, имена, отчества и должности должностного лица или должностных лиц, проводивших проверку;
• наименование проверяемого юридического лица или фамилия, имя и отчество ИП, а также фамилия, имя, отчество и должность руководителя, иного должностного лица или уполномоченного представителя юридического лица, уполномоченного представителя ИП, присутствовавших при проведении проверки;
• дата, время, продолжительность и место проведения проверки;
• сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований и требований, установленных муниципальными правовыми актами, об их характере и о лицах, допустивших указанные нарушения;
• сведения об ознакомлении или отказе в ознакомлении с актом проверки руководителя, иного должностного лица или уполномоченного представителя юридического лица, ИП, его уполномоченного представителя, присутствовавших при проведении проверки, о наличии их подписей или об отказе от совершения подписи, а также сведения о внесении в журнал учета проверок записи о проведенной проверке либо о невозможности внесения такой записи в связи с отсутствием у юридического лица, ИП указанного журнала;
• подписи должностного лица или должностных лиц, проводивших проверку.

К акту проверки прилагаются:

• протоколы отбора образцов продукции, проб обследования объектов окружающей среды и объектов производственной среды;
• протоколы или заключения проведенных исследований, испытаний и экспертиз;
• объяснения работников юридического лица, работников ИП, на которых возлагается ответственность за нарушение обязательных требований или требований, установленных муниципальными правовыми актами;
• заполненный по результатам проведения проверки проверочный лист (список контрольных вопросов), если проверка проводилась с использованием проверочного листа (списка контрольных вопросов);
• предписания об устранении выявленных нарушений и иные связанные с результатами проверки документы или их копии.

Акт проверки оформляется непосредственно после ее завершения в 2 экземплярах, один из которых с копиями приложений вручается руководителю, иному должностному лицу или уполномоченному представителю юридического лица, ИП, его уполномоченному представителю под расписку об ознакомлении либо об отказе в ознакомлении с актом проверки. Акт проверки также может быть направлен заказным почтовым отправлением или в форме электронного документа, подписанного усиленной квалифицированной электронной подписью.

В исключительных случаях (если для составления акта проверки необходимо получить заключения по результатам проведенных исследований, испытаний, специальных расследований, экспертиз) акт проверки составляется в срок, не превышающий 3-х рабочих дней после завершения мероприятий по контролю.

Журнал учёта проверок

Юридические лица, ИП вправе вести журнал учета проверок по типовой форме, утвержденной Приказом Минэкономразвития РФ от 30.04.2009 г. N 141.

В журнале учета проверок должностными лицами органа государственного контроля (надзора), органа муниципального контроля осуществляется запись о проведенной проверке, содержащая следующие сведения:

• наименование органа государственного контроля (надзора), органа муниципального контроля;
• дата начала и окончания проведения проверки;
• время проведения проверки;
• правовые основания;
• цели, задачи и предмет проверки;
• выявленные нарушения и выданные предписания;
• фамилии, имена, отчества и должности должностного лица или должностных лиц, проводящих проверку, его или их подписи.

Журнал учета проверок должен быть прошит, пронумерован и удостоверен печатью юридического лица, ИП (при наличии печати). При отсутствии журнала учета проверок в акте проверки делается соответствующая запись.

Возражения в отношении акта проверки

В случае несогласия с фактами, выводами, предложениями, изложенными в акте проверки, либо с выданным предписанием об устранении выявленных нарушений юридическое лицо (ИП) в течение 15 дней с даты получения акта проверки вправе представить в соответствующий орган государственного контроля (надзора), орган муниципального контроля в письменной форме возражения в отношении акта проверки и (или) выданного предписания об устранении выявленных нарушений в целом или его отдельных положений. При этом предприниматель вправе приложить к таким возражениям документы, подтверждающие обоснованность таких возражений, или их заверенные копии.

Обжалование результатов проверки

Результаты проверки, проведенной органом государственного контроля (надзора), органом муниципального контроля с грубым нарушением установленных Законом о проверках требований к организации и проведению проверок, не могут являться доказательствами нарушения юридическим лицом, ИП обязательных требований и требований, установленных муниципальными правовыми актами, и подлежат отмене вышестоящим органом государственного контроля (надзора) или судом на основании заявления юридического лица, ИП.

Грубыми нарушениями являются (ч. 2 ст. 20 Закона о проверках):

• отсутствие оснований проведения плановой проверки;
• нарушение срока уведомления о проведении проверки;
• привлечение к проведению мероприятий по контролю не аккредитованных в установленном порядке юридических лиц, ИП и не аттестованных в установленном порядке граждан;
• отсутствие оснований проведения внеплановой выездной проверки;
• отсутствие согласования с органами прокуратуры внеплановой выездной проверки в отношении юридического лица, ИП;
• нарушение сроков и времени проведения плановых выездных проверок в отношении субъектов малого предпринимательства;
• проведение проверки без распоряжения или приказа руководителя, заместителя руководителя органа государственного контроля (надзора), органа муниципального контроля;
• требование документов, не относящихся к предмету проверки;
• превышение установленных сроков проведения проверок;
• непредставление акта проверки;
• проведение плановой проверки, не включенной в ежегодный план проведения плановых проверок;
• участие в проведении проверок экспертов, экспертных организаций, состоящих в гражданско-правовых и трудовых отношениях с юридическими лицами и ИП, в отношении которых проводятся проверки.

Что это такое?

Проверка персональных данных – это действия уполномоченных органов, направленные на выявление нарушений, связанных с обработкой и хранением личной информации.

Паспортные данные, уровень образования, квалификация и другие автобиографические сведения относятся к персональным.

Распространение такой информации со стороны работодателя недопустимо. В противном случае работник вправе обратиться в суд.

Для выполнения определенного вида работы в некоторых фирмах требуются более личные сведения о кандидате на должность. Например, перечень перенесенных человеком заболеваний.

Проверка персональных сведений призвана выявлять нарушения в системе защиты личной информации о сотрудниках предприятия. Если они выявлены, то начисляется общая сумма штрафов по всем пунктам.

Какие органы ее проводят?

Уполномоченные органы вправе осуществлять контроль и надзор за правильным хранением баз данных, к ним относятся:

• Роскомнадзор. Данный орган защищает права субъектов персональной информации, а также осуществляет контроль и надзор за ее надлежащей обработкой в соответствии с законом.
• Государственная инспекция труда. Этот орган проводит контрольно-надзорные мероприятия по соблюдению всех требований Трудового кодекса.
• ФСТЭК. Действует приказ ФСТЭК РФ от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
• ФСБ. Приказ ФСБ РФ от 10.07.2014 №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите».

Проводимые проверки могут быть как плановыми, так и внеплановыми.

Виды аудита

Процедура инспекции зависит от ее типа, основными являются следующие:

• Плановые. В конце года составляется график проведения инспекций на следующий период, и эта информация публикуется на официальном сайте уполномоченного органа. За три дня до начала инспекции проверяемая организация предупреждается лично или письмом.
• Внеплановые. Такие мероприятия осуществляются после поступивших жалоб. В зависимости от степени серьезности нарушения о визите инспекторов могут сообщить за сутки или вовсе не предупредить.
• Документарные. Контролирующий орган запрашивает необходимые документы, которые руководитель предприятия обязан предоставить в определенные сроки.
• Выездные. Территория организации осматривается сотрудниками уполномоченного органа.

Такие инспекции могут проводиться как Роскомнадзором, так и ФСБ.

Какие документы проверяют?

Одним из главных контролирующих органов по защите персональной информации является Роскомнадзор

Роскомнадзор

Плановые проверки предусматривают предоставление следующих документов:

• копия документа о назначении уполномоченного представителя, который сможет представлять интересы юридического лица во время проверки;
• все документы, которые могут включать в себя личные сведения (анкеты, заявления, журналы);
• документы, которые подтверждают уничтожение личной информации после ее обработки;
• письменное согласие владельцев личной информации на ее обработку;
• документы, которые подтверждают соблюдение всех требований законодательства при обработке персональных сведений;
• документы, которые подтверждают место размещения баз данных;
• документы, подтверждающие ознакомление работников, осуществляющих обработку личной информации, с действующим законодательством.

Роскомнадзор осуществляет проверку по следующим пунктам:

1. деятельность по обработке персональных сведений;
2. документы, в которых могут отображаться информация личного характера;
3. информационные базы.

Роскомнадзор может проводить как плановые, так и внеплановые проверки, например, документальные или выездные. Его цель – проверить правовые аспекты обработки данных.

Выездная проверка может длиться 20 дней, и еще на 20 суток она может быть продлена. Итог проверки – акт, который, при наличии нарушений, включает в себя предписания по их устранению. Также устанавливаются сроки для исправления ошибок. Результат проверки всегда можно обжаловать.

ФСБ

В ходе проверки ФСБ обращает внимание на следующие аспекты:

• Наличие нарушителя и угрозы, которую он представляет.
• Организационные меры, которые установлены приказом ФСБ №378. В нем сказано о назначении ответственных лиц, порядке допуска работников к ИСПДн, защита объектов и другое.
• Наличие средств криптографической защиты информации.
• Документы на средства криптографической защиты баз данных. Это могут быть лицензии и сертификаты.

Плановые инспекции начинаются с уведомления проверяемого. К нему прилагается копия приказа и план проводимых мероприятий. ФСБ проверяет информационные системы баз данных. В организации должен быть утвержденный документ регламентирующий защиту личных сведений.

Как избежать штрафов и подготовиться?

Как подготовиться к проверке:

1. В первую очередь нужно следить за бумагами, особенно копиями паспортов. Хранение такой информации в доступном месте может породить у инспектора много вопросов.
2. Убедиться, что на предприятии есть заполненные бланки «согласия сотрудников на обработку их личной информации».
3. Провести инструктаж с работниками по охране личных сведений.
4. В кабинетах, в которых обрабатывается личная информация в бумажном, виде должны находиться сейфы, закрытые шкафы, бухгалтерские стеллажи, в которых они будут храниться.

Как действовать во время инспекции:

1. тщательно ознакомиться со всеми документами, которые относятся к проверке;
2. помощь профессионалов, например, юристов, которые имеют право присутствовать во время проведения мероприятия;
3. прежде чем передать документы инспектору следует лично ознакомиться с их содержанием;
4. не обязательно представлять требуемые документы незамедлительно, всегда есть время на обработку запроса.

Важно помнить, что за несоблюдение законодательства в области защиты персональной информации руководители организаций несут ответственность, согласно ФЗ №152 «О персональных данных».