Роскомнадзор вводит тотальную слежку за переговорами и передвижениями всех россиян. как под нее не попасть

За что и на какие суммы штрафуют в 2021 году

27 марта вступает в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.

Последний раз административную ответственность в этой сфере усиливали в 2021 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.

Обратите внимание на следующие нововведения:

1. За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.

2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.

Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.

3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.

Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.

В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?

Как подготовиться к проверке Роскомнадзора

Поскольку подготовка к проверке и её прохождение требуют знаний законодательства и требований регуляторов, то зачастую организации прибегают к привлечению  специалистов со стороны, которые соберут всю необходимую информацию, разработают документацию и проследят за ее утверждением. Однако в нормативную базу регулярно вносятся изменения, а требования контролирующих органов расширяются. При этом в самой организации тоже постоянно происходят изменения: меняется кадровый состав, структура организации, техническое оснащение. Документация же должна быть актуальна на текущий день, что потребует повторных обращений к специалистам и, как следствие, регулярных платежей за обновление документации.

Теоретически подготовиться к проверке можно самостоятельно. Однако отсутствие квалифицированных специалистов, знаний тонкостей законодательства, опыта прохождения проверки препятствуют успешному прохождению проверки и приводят к выдаче предписаний по устранению нарушений по итогам контрольно-надзорного мероприятия и наложению штрафов.

В последнее время активное распространение получили специальные сервисы, позволяющие автоматизировать процессы по защите информации и поддерживать документацию в актуальном состоянии. Одним из таких сервисов является онлайн-сервис «АльфаДок». Сотрудник вносит необходимую информацию, и сервис автоматически формирует весь пакет документов, готовый для выгрузки и утверждения. При возникновении вопросов можно обратиться в службу технической поддержки,  эксперты которой  проконсультируют по вопросам пользования сервисом и подскажут, какие шаги необходимо выполнить в случае проверки или обращений граждан.

В целом процесс подготовки к проверке состоит из следующих шагов:

1. Проведение внутреннего аудита для анализа процессов обработки персональных данных в учреждении.

В рамках аудита необходимо определить:

• Перечень информационных систем, в которых обрабатываются персональные данные (ИСПДн). В школах такими могут быть системы «Кадровый учет», «Бухгалтерский учет» и «Школа», в состав которой входят программные комплексы, обрабатывающие персональные данные обучающихся и преподавателей.
• Цели обработки. К примеру, для медицинских организаций основными целями являются выполнение требований законодательства в сфере здравоохранения и оказание медицинских услуг населению.
• Категории обрабатываемых в организации персональных данных. Например, ФИО, дата рождения, адрес, фотографии, семейное положение, место работы, сведения о  состоянии здоровья. Такой перечень может содержать около ста видов сведений.
• Категории субъектов, персональные данные которых обрабатываются в организации (сотрудники, клиенты, граждане).

1. Назначение лиц, ответственных за организацию обработки и за обеспечение безопасности персональных данных.

Необходимо назначить ответственного за организацию обработки персональных данных, как правило, это  руководящее лицо: директор или заместитель директора. В качестве ответственного за обеспечение безопасности персональных данных обычно назначают технического специалиста. 

1. Разработка и утверждение необходимой документации.

ФЗ-152 «О персональных данных» не регламентирует названия документов, но определяет, какие процессы по обработке персональных данных должны быть оформлены документально. Разрабатываемый в сервисе «АльфаДок» пакет документов по защите персональных данных включает в себя более 20 документов (с перечнем документов можно ознакомиться в разделе «Нормативно-правовая база»).

Пакет документов обязательно должен включать в себя Политику в отношении обработки персональных данных. Это основной документ,  определяющий все отношения, связанные с обработкой персональных данных в организации. Политика должна быть размещена в общедоступном месте, чтобы каждый желающий мог с ней ознакомиться, поэтому мы рекомендуем обязательно опубликовать её на официальном сайте.

1. Подача уведомления о намерении осуществлять обработку персональных данных в Роскомнадзор.

Уведомление об обработке персональных данных можно отправить в электронном виде с сайта Роскомнадзора или из сервиса «АльфаДок», где оно автоматически формируется из введенных ранее сведений. Распечатанную электронную форму необходимо направить по почте в Управление Роскомнадзора вашего региона. В течение 30 дней учреждение будет внесено в реестр операторов персональных данных. В случае изменений нужно обязательно уведомить Роскомнадзор, подав информационное письмо с перечнем изменений. При формировании информационного письма в сервисе «АльфаДок» перечень изменений генерируется автоматически.

Сибирский федеральный округ

Республика Хакасия, Республика Тыва, Красноярский край (Енисейское управление)

20 ноября 2020 года Енисейское управление Роскомнадзора опубликовало план проверок операторов персональных данных Енисейского управления на 2021 год.

Республика Алтай и Алтайский край

30 ноября 2020 года Управление Роскомнадзора по Алтайскому краю и Республике Алтай опубликовало план проверок операторов персональных данных Алтайского края и Республики Алтай на 2021 год.

Иркутская область

27 ноября 2020 года Управление Роскомнадзора по Иркутской области опубликовало план проверок операторов персональных данных Иркутской области на 2021 год.

Кемеровская область

26 ноября 2020 года Управление Роскомнадзора по Кемеровской области опубликовало план проверок операторов персональных данных Кемеровской области на 2021 год.

Омская область

26 ноября 2020 года Управление Роскомнадзора по Омской области опубликовало план проверок операторов персональных данных Омской области на 2021 год.

Томская область

27 ноября 2020 года Управление Роскомнадзора по Томской области опубликовало план проверок операторов персональных данных Томской области на 2021 год.

Виды проверок

Проверки Роскомнадзора, согласно ст. 9 и 10 закона «О защите…» от 26.12.2008 № 294-ФЗ, могут быть плановыми и внеплановыми. Каждая из них, в свою очередь, может быть документарной или выездной.

Что проверяет Роскомнадзор при плановой проверке

Основная цель плановой проверки — соблюдение законодательства в подведомственной Роскомнадзору сфере. Роскомнадзор проводит плановые проверки с применением специальных проверочных листов. Проверочные листы для каждой подведомственной сферы утверждаются нормативными актами Роскомнадзора.

Проверочный лист, помимо обязательных для него реквизитов (даты проверки, номера, места проведения, наименования организации, в отношении которой проводится проверка, данных об основании проверки и проверяющих сотрудниках), содержит набор вопросов, которые должны быть заданы представителям проверяемой организации. Исходя из ответов или документов, которые есть в организации, проверяющие ставят напротив каждого вопроса ответ «да» либо «нет» в зависимости от того, выполнены обозначенные в вопросе требования или нет.

Для справки! Организация, согласно ч. 12 ст. 9 закона № 294, должна быть письменно уведомлена о предстоящей плановой проверке как минимум за 3 рабочих дня до ее начала. Кроме того, о предстоящей проверке можно узнать на сайте Генпрокуратуры РФ. Там публикуется ежегодный сводный план проверок, публикация проводится в срок до 31 декабря предшествующего проверке года.

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Пробный бесплатный доступ к системе на 2 дня.

Периодичность плановых проверок по общему правилу не может превышать 1 раза в 3 года.

Внеплановая проверка Роскомнадзора — что проверяют

В отличие от плановой, внеплановая проверка проводится не периодически, а при необходимости, если есть основания, предусмотренные ч. 2 ст. 10 закона № 294. Например, при поступлении жалоб на действия организации, с целью проверки, устранены ли ранее выявленные нарушения, и т. д.

Проверочные листы Роскомнадзора в ходе внеплановой проверки не используются. А основная задача внепланового рейда — проверка конкретных фактов, например обозначенных в жалобах граждан, а также выяснение, устранены ранее выявленные недочеты или нет.

Важно! О проведении внеплановой проверки проверяемая организация должна быть уведомлена минимум за сутки до визита проверяющих сотрудников согласно ч. 16 ст

10 закона № 294.

Подробные требования к содержанию согласия

Согласие должно включать в себя следующую информацию:

1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.

2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)

3) Сведения об операторе персональных данных

Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ

Если оператором является физическое лицо, то указывается: фамилия, имя, отчество (при наличии), место жительства или место пребывания.

Если оператором является индивидуальный предприниматель, то указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.

4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных

5) Цель (цели) обработки персональных данных

Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.

6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных

Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:

• общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
• специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
• биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).

Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов

Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.

Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.

Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.

8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников

9) Срок действия согласия

Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.

Не допускается указание на автоматическую пролонгацию срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.

Как обжаловать результаты проверки

Любое нарушение правил сотрудником Роскомнадзора — повод подать жалобу. Вы можете пожаловаться на ревизоров, если:

1. Сотрудники Роскомнадзора не показали вам приказ о проведении проверки или свои удостоверения.
2. К вам приехали с выездной проверкой и попросили выйти из помещения.
3. К вам приехали с выездной проверкой и не слушают ваши объяснения.
4. Проверка проходит дольше, чем это прописано в правилах.
5. Вам не показали акт о результатах проверки.
6. Роскомнадзор запретил вам собирать и обрабатывать персональные данные, а вы считаете, что ничего не нарушали.

Если вы не согласны с результатами проверки, можете прийти в Роскомнадзор и пожаловаться на проверяющих устно. Но лучше подать письменную жалобу. Её можно отправить бумажным или электронным письмом. Если вы отправляете жалобу по электронной почте, поставьте электронную подпись.

Если вы жалуетесь на сотрудников регионального Роскомнадзора — отправляйте жалобу в региональное управления Роскомнадзора. Если жалуетесь на проверяющих из федеральной службы — в федеральный Роскомнадзор.

Сотрудники Роскомнадзора обязаны ответить в течение 30 дней со дня регистрации жалобы. Они могут согласиться с претензией полностью, частично или вообще не согласиться.

Если вы подавали жалобу в региональный Роскомнадзор и он с ней не согласился, пишите в федеральную службу. Если и там не найдёте понимания — идите в суд.

Как проходит проверка Роскомнадзора

Итак, на вопрос, ходит ли Роскомнадзор на проверки, есть однозначный ответ — да.

Все начинается с уведомления. Администрация получает инициирующий приказ со всеми реквизитами и планом предстоящих мероприятий. Изначально всеобъемлющему мониторингу подвергается документы. Работодатель обязан выслать пакет документов в течение 10 дней. Если нареканий не возникает, то выезд на предприятие отменяется.

Но при обнаружении малейших недочетов предприниматель будет вынужден лично принимать инспекторов на своей территории. Как правило, их двое. Им выделяется отдельная комната для работы.

На выездную инспекцию отводится 20 дней. Если инспекторы обнаруживают глобальные нарушения, то за ними остается право затребовать еще столько же дней на проверку. По завершении работы инспекторов составляется Акт.

В нем указываются:

• обнаружены нарушения;
• рекомендации по их устранению;
• временные рамки, отведенные на устранение недочетов.

Если работодатель не согласен с мнением инспекторов, он может обжаловать данные, озвученные в итоговом Акте. Жалоба подается в региональный департамент Роскомнадзора. На ее рассмотрение отводится один месяц.

Особенности проверки Роскомнадзором защиты персональных данных на предприятии

Соблюдение норм действующего законодательства является ключевой обязанностью работодателя. Если знать законодательные нормы и неукоснительно им следовать, вопрос подготовки к визиту Роскомнадзора можно свести к минимуму.

Предпринимателю не стоит паниковать, потому как у проверяющих существует свой регламент

Важно знать, что перед инспекцией представителями Роскомнадзора должно быть направлено уведомление. В нём должны содержаться сведения о нормативной базе, на которой базируется проверка, её цель, сроки и план проверочных мероприятий

По прибытии сотрудников Роскомнадзора важно проверить их служебные удостоверения. Предприниматель также имеет право записать сведения о проверяющих в специальный журнал.. Перед выездной проверкой Роскомнадзор направляет письменный запрос, в котором указывает перечень интересующих документов

Ответить на него следует в течение 10 рабочих дней и если у проверяющих не возникнет вопросов касательно качества и полноты представленной документации, то необходимость выезда может вовсе исчезнуть. Если Роскомнадзор всё же решает провести выездную проверку, то обычно такое мероприятие длится не более 20 рабочих дней

Перед выездной проверкой Роскомнадзор направляет письменный запрос, в котором указывает перечень интересующих документов. Ответить на него следует в течение 10 рабочих дней и если у проверяющих не возникнет вопросов касательно качества и полноты представленной документации, то необходимость выезда может вовсе исчезнуть. Если Роскомнадзор всё же решает провести выездную проверку, то обычно такое мероприятие длится не более 20 рабочих дней.

Итогом комплексной инспекции является специальный акт, составляемый представителями Роскомнадзора. Если на предприятии выявляются нарушения, то в него включается предписание на их устранение.

Во время выездной проверки нужно следить за тем, чтобы представители комиссии работали в рамках своей компетенции. Инспекторы не могут изымать те документы, содержание которых не относится к плану мероприятий, а составленный акт может быть обжалован в суде.

Итак, подводя итог, можно сказать, что проверка Роскомнадзора является сложным процессом, затрагивающим ответственный сегмент работы – обработку и хранение персональных данных. Перед приходом проверяющих нужно привести в порядок все описанные выше локальные правовые акты, регламентирующие данный вопрос. Не стоит паниковать во время проверки и спешить при отправке документов в инспекцию. На предоставление информации предпринимателя имеется время, а значит, можно тщательно обдумать дальнейшие действия и не попасть под штрафные санкции.

Контрольная и надзорная деятельность в сфере персональных данных

     В январе 2007 года вступил в силу Федеральный закон «О персональных данных» № 152-ФЗ от 27.07.2006г. Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.    Согласно п.1. статьи 23 Федерального закона «О персональных данных» уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.     В соответствии с Постановлением Правительства РФ от 16 марта 2009г. № 228 «Об утверждении Положения о Федеральной службе по надзору в сфере связи, информационных технологий  и массовых коммуникаций » указанным органом является Федеральная служба по надзору в сфере связи, информационных технологий  и массовых коммуникаций (Роскомнадзор).    В связи с этим, государственным, муниципальным органам, юридическим или физическим лицам, организующим и (или) осуществляющим обработку персональных данных на территории Владимирской необходимо направить в Управление Роскомнадзора по Владимирской области Уведомления об обработке персональных данных (в соответствии с ч.1.ст. 22 Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006г.).     Уведомление должно быть подписано уполномоченным лицом и направлено в территориальное управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Владимирской области в письменной форме по адресу 600000, г. Владимир, ул. 1-я Пионерская, д. 92, по факсу +7 (4922) 37-72-41 или по электронной почте по адресу rsockanc33@rkn.gov.ru в форме электронного документа, подписанного электронной цифровой подписью в соответствии с законодательством Российской Федерации.

   Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года (зарегистрированные Роскомнадзором в Реестре), обязаны направить в Роскомнадзор через его территориальные органы сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 Федерального закона «О персональных данных», не позднее 1 января 2013 года (Информационное письмо о внесении изменений в сведения об операторе в Реестре операторов ОПД).

    Подробная информация по вопросам защиты прав субъектов персональных данных (конфиденциальной информации) размещена на Интернет-сайте (страницах) Роскомнадзора (http://www.rsoc.ru, http://33.rkn.gov.ru), в том числе образцы форм уведомления об обработке персональных данных и информационного письма, рекомендации с примерами по их заполнению (http://33.rkn.gov.ru/personal-data/p19300/).

    По вопросам, связанным с направлением Уведомления (Информационного письма), другим вопросам по защите  прав субъектов персональных данных просим обращаться в Управление Роскомнадзора по Владимирской области по телефону +7 (4922) 37-72-39.

 Служебные контакты: 

Время публикации: 03.10.2009 Последнее изменение: 25.06.2019 10:40

Предмет проверки Роскомнадзора

Сферы деятельности юридических лиц и ИП, надзор в которых осуществляет Роскомнадзор, перечислены в п. 5 положения, утвержденного постановлением Правительства РФ «О Федеральной…» от 16.03.2009 № 228. В соответствии с ним Роскомнадзор проводит проверки за соблюдением законодательства в различных сферах, в частности, таких как:

• деятельность средств массовой информации, телеканалов, периодических печатных, электронных и других изданий;
• информатизация и защита информации;
• организация и работа радио и телевещания;
• связь и массовые коммуникации;
• организация и деятельность почтовых операторов;
• обработка и защита персональных данных граждан.

Кого проверяет Роскомнадзор

Исходя из перечня сфер, подведомственных Роскомнадору, можно определить круг организаций и ИП, к которым его сотрудники могут прийти с проверкой. Это:

• средства массовой информации (редакции газет, журналов, теле- и радиокомпании, электронные СМИ);
• операторы связи (ТВ, радио и т. д.);
• интернет-провайдеры;
• организации, оказывающие почтовые услуги, и т. д.

Важно! Помимо профильного надзора в подведомственных сферах, Роскомнадзор имеет право проверять всех операторов персональных данных. Таковыми в силу требований пп

2 и 3 ч. 1 ст. 3 закона «О персональных данных» от 27.07.2006 № 152-ФЗ являются любые организации и ИП, которые в ходе своей деятельности обрабатывают, используют, собирают, хранят личные данные граждан.

Получается, объектом проверки Роскомнадзора может стать любой предприниматель или юридическое лицо, которые нанимают персонал, ведут клиентские базы или обрабатывают персональные данные граждан в других целях.