Проверка Роскомнадзора по защите персональных данных: что проверяют

Деятельность предпринимателя подлежит серьёзному контролю множеством государственных инспекций. Одним из таких учреждений является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций или сокращённо – Роскомнадзор. Какова цель проверок этой организации? Как к ним подготовиться и снизить риски до минимума? Ответ на эти и другие вопросы – в материале статьи.

Цель инспекции Роскомнадзора, что проверяется

Любое предприятие, набирающее в штат наёмных работников, не может официально их трудоустроить, не проведя, при этом, процедуру идентификации. В связи с этим, множество организаций проходит проверку Роскомнадзором персональных данных (далее – ПД), получаемых не только от работников, но и от клиентов.

Инспектируемый объём сведений отличается в зависимости от вида инспекции. Контролирующий орган вправе запросить нужные документы и изучить их удалённо, а может нанести визит работодателю и таким образом расширить круг проверки.

Понятие персональных данных охватывает объём информации, касающейся идентификации каждого человека. Таковой являются паспортные данные, адрес проживания, грамотно заполненная трудовая книжка, опыт работы и так далее.

ФЗ «О персональных данных» обязан соблюдать любой работодатель. Это является одной из основных целей поверки Роскомнадзора. Поскольку инспекция занимается защитой информации, другой направленностью является техническая проверка компьютерных систем предприятия.

При наличии веб-сайта, на котором требуется вводить персональные данные, важно оповещать посетителей о цели сбора предприятием таких сведений. Кроме этого, важно получить электронное согласие клиента на обработку его данных.

Вне зависимости от того, предупреждён работодатель о предстоящей инспекции, или нет, следует знать, что проверяет проверка Роскомнадзора по защите персональных данных. Для того, чтобы снизить вероятность штрафных санкций для своего предприятия, нужно привести в порядок ряд важных документов. Единого перечня проверяемой документации не существует, поэтому целесообразно выделить наиболее важные из них, которые чаще всего запрашиваются.

Помимо основных учредительных документов, у предпринимателя должны быть:

  • Список собираемых и хранимых предприятием видов персональных данных, порядок их обработки.
  • Выписка из реестра операторов или копия уведомления об обработке ПД.
  • Перечень работников предприятия, имеющих доступ к персональным данным, а также оригиналы приказов, подтверждающих их полномочия. Также могут потребоваться их должностные инструкции.
  • Положения о защите конфиденциальной информации и коммерческой тайны.
  • Положение о неразглашении ПД и об ответственности за нарушение запрета доступа к ним. Также понадобятся соответствующие соглашения с работниками, которые также должны быть ими подписаны.
  • Положение об обработке персональных данных.
  • Наличие бланков согласия на обработку ПД.
  • Журналы учёта носителей информации, а также журналы инструктажей по вопросам информационной безопасности.

Вместе с корректностью получения персональных данных, комиссией проверяются условия, в которых хранится собранная информация. Как правило, Роскомнадзор осуществляет комплексные проверки всех перечисленных документов и не ограничивается конкретным вопросом.

Кроме этого, проверяющими может быть затребован план мероприятий по защите ПД, акт определения уровня защищенности информации и другие ЛПА, регламентирующие эту деятельность.

Для того, чтобы убедиться в качестве защиты информации, в ходе выездных проверок внимание будет обращено на фактическое наличие у предпринимателя соответствующих технических решений. Поскольку персональные данные хранятся на сервере, особое внимание будет уделяться наличию антивирусов и паролей на тех ПК, через которые можно получить доступ к нему.

Виды проверок Роскомнадзора и как к ним подготовиться

Стоит понимать, что проверки могут быть нескольких видов и к каждой из них следует быть готовыми. Основное отличие касается времени и направленности проведения. К ним относятся:

  • Плановые проверки. Такой вид предусмотрен определённым графиком и происходит на регулярной основе. Предприниматель заранее уведомляется о дате проведения, к которой у него есть время подготовиться.
  • Внеплановые инспекции. Этот вид инспекции отличается внезапностью и обычно обусловлен результатами рассмотрения жалоб граждан, свидетельствующих о нарушениях в сфере защиты информации и персональных данных.

Кроме этого, государственное учреждение может провести проверку удалённо, запросив от работодателя пакет нужных документов. Проверка Роскомнадзора по защите персональных данных может оказаться внезапной для работодателя, поэтому подготовиться к ней следует заранее.

На первый план стоит вынести внутреннюю дисциплину и на регулярной основе проводить внутренние проверки, касающиеся соблюдения работниками законодательства по защите ПД.В этом может помочь активизация работы службы безопасности, в компетенции которой входит внутренний контроль сотрудников предприятия и соблюдения ими норм действующего законодательства.

Таким образом, если работа безопасности на фирме налажена, риск получить штраф от Роскомнадзора заметно снижается. Разумеется, наличие специалиста в области защиты информации будет плюсом для работодателя.

Необходимость найма такого сотрудника напрямую зависит от количества ПД, с которыми работает предприятие, и чем их больше, тем активнее следует готовиться к приходу проверяющих.

Начать нужно с таких мероприятий:

  • Самостоятельно проверить места и условия хранения любых носителей информации, содержащих ПД работников или клиентов, наличие запирающих устройств и паролей.
  • Проверить наличие подписанных соглашений на обработку персональных данных всеми работниками предприятия и его клиентами, если с ними связана коммерческая деятельность.
  • Готовясь к проверке, не будет лишним провести беседу с подчинёнными, ознакомить их с целью визита проверяющих, а также с тем, какие документы и кому следует подписывать без присутствия директора.
  • Ознакомиться с наличием документов, описанных в данной статье. Они могут заинтересовать инспекцию в первую очередь.

Однако и до прихода проверки работодатель может оказаться под санкциями. Это возможно, если перед регистрацией своей фирмы он не направил уведомление в Роскомнадзор на обработку ПД.

Особенности проверки Роскомнадзором защиты персональных данных на предприятии

Соблюдение норм действующего законодательства является ключевой обязанностью работодателя. Если знать законодательные нормы и неукоснительно им следовать, вопрос подготовки к визиту Роскомнадзора можно свести к минимуму.

Предпринимателю не стоит паниковать, потому как у проверяющих существует свой регламент. Важно знать, что перед инспекцией представителями Роскомнадзора должно быть направлено уведомление. В нём должны содержаться сведения о нормативной базе, на которой базируется проверка, её цель, сроки и план проверочных мероприятий.

По прибытии сотрудников Роскомнадзора важно проверить их служебные удостоверения. Предприниматель также имеет право записать сведения о проверяющих в специальный журнал.

Перед выездной проверкой Роскомнадзор направляет письменный запрос, в котором указывает перечень интересующих документов. Ответить на него следует в течение 10 рабочих дней и если у проверяющих не возникнет вопросов касательно качества и полноты представленной документации, то необходимость выезда может вовсе исчезнуть. Если Роскомнадзор всё же решает провести выездную проверку, то обычно такое мероприятие длится не более 20 рабочих дней.

Итогом комплексной инспекции является специальный акт, составляемый представителями Роскомнадзора. Если на предприятии выявляются нарушения, то в него включается предписание на их устранение.

Во время выездной проверки нужно следить за тем, чтобы представители комиссии работали в рамках своей компетенции. Инспекторы не могут изымать те документы, содержание которых не относится к плану мероприятий, а составленный акт может быть обжалован в суде.

Итак, подводя итог, можно сказать, что проверка Роскомнадзора является сложным процессом, затрагивающим ответственный сегмент работы – обработку и хранение персональных данных. Перед приходом проверяющих нужно привести в порядок все описанные выше локальные правовые акты, регламентирующие данный вопрос. Не стоит паниковать во время проверки и спешить при отправке документов в инспекцию. На предоставление информации предпринимателя имеется время, а значит, можно тщательно обдумать дальнейшие действия и не попасть под штрафные санкции.

1 Star2 Stars3 Stars4 Stars5 Stars (18 голос., средний: 4,00 из 5)
Загрузка...
Обсуждение ( 0)
Поделитесь своим мнением
Для оформления сообщений Вы можете использовать следующие тэги:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>