Новые основания для проверки Роскомнадзором
Несмотря на мораторий на проверки до 2030 года, Роскомнадзор имеет право проводить контрольно-надзорные мероприятия. Новые основания для проверок касаются контроля за обработкой персональных данных.
Основания для проверки
Новый приказ Минцифры, обращает внимание правовой системы Гарант, утвердил новые основания для проверок Роскомнадзором операторов персональных данных.
Проверка может быть проведена, если регулятор обнаружит не менее трех несоответствий между данными на сайте оператора и информацией, предоставленной в уведомлениях оператора. Роскомнадзор также имеет право проводить контрольные мероприятия без взаимодействия с оператором.
Изменение данных и штрафы
Организация обязана уведомить регулятор о изменении категории персональных данных. За нарушения в области обработки данных предусмотрена административная ответственность.
Плановые проверки
Плановые проверки операторов персональных данных проводятся на основе ежегодных планов, опубликованных на сайте Роскомнадзора. Операторы могут быть включены в план проверок после трех лет с момента регистрации личности или после предыдущей проверки.
Правила проведения проверок
Плановая проверка проводится не чаще, чем один раз в два года, если оператор:
- Обрабатывает данные в государственных информационных системах.
- Собирает биометрические данные.
- Осуществляет трансграничную передачу данных.
- Обрабатывает данные по поручению иностранного лица.
Для защиты персональных данных работников рекомендуется создать следующие документы и получить письменное обязательство о неразглашении.
План проверок и уведомления операторов персональных данных
Уполномоченные должностные лица Роскомнадзора (его территориального органа) утверждают ежегодный план контрольных (надзорных) мероприятий до 15 декабря предшествующего году реализации плана. План размещается на официальном сайте в течение пяти рабочих дней после утверждения, за исключением ограниченной информации.
Если ваша организация не указана в плане мероприятий, то вероятно, что вас не коснется плановая проверка в этом году. Изменения в плане могут происходить, например, в случае реорганизации организации.
Внесение изменений в план проверок
Информация об изменениях, вносимых в ежегодный план, размещается на сайте контрольного (надзорного) органа на следующий рабочий день после внесения изменений.
Плановые проверки операторов персональных данных проводятся на основе ежегодного плана Роскомнадзора. Компания включается в план проверки после трех лет с момента регистрации или после последней плановой проверки.
Внеплановые проверки
Внеплановые проверки проводятся при неисполнении предписаний, обращениях физических лиц, по поручению президента, по требованию прокурора или по решению руководителя Роскомнадзора.
Порядок проведения проверок
- Плановые проверки: уведомление за три рабочих дня.
- Внеплановые проверки: уведомление за 24 часа любым доступным способом.
Работодатели, как операторы персональных данных, должны уведомить Роскомнадзор о начале обработки персональных данных своих работников. Утвердите положение о защите персональных данных и запрашивайте согласие на обработку персональных данных при приеме на работу.
Плановые проверки: проводятся в рамках плана деятельности Роскомнадзора и обычно заранее не объявляются. Компании должны принимать участие и предоставлять требуемые документы и данные.
Внеплановые проверки: могут проводиться по жалобам граждан или по проверке информации о возможных нарушениях. Компания должна быть готова к проверке в любое время.
Типичные ошибки при проверке:
- Отсутствие документов, подтверждающих соблюдение требований по защите ПДн.
- Неактуальные положения об обработке и защите ПДн.
- Недостаточные технические и организационные меры по защите ПДн.
Рекомендации по подготовке:
- Обновите положения и документы о защите ПДн.
- Проведите аудит системы защиты ПДн.
- Обучите персонал по правилам обработки ПДн.
Проверки ФСТЭК и ФСБ
Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба безопасности (ФСБ) также могут проводить проверки организаций по вопросам защиты ПДн.
Особенности проверок и рекомендации:
- ФСТЭК обращает внимание на применение шифрования и стандартов безопасности в информационных системах.
- ФСБ проводит проверки с использованием разведывательных методов и технологий.
Заключение
Соблюдение требований законодательства по защите персональных данных важно для всех компаний. Подготовьтесь заранее к возможным проверкам госорганов, обновите документы и обучите персонал. В случае нарушений могут наступить серьезные штрафы, поэтому лучше предотвратить проблемы заранее.
Роскомнадзор: Требования и Порядок проверок
Роскомнадзор – это организация, которая требует предоставления списка документов для проверки в территориальный орган. Представители Роскомнадзора проводят проверку соответствия закону 152-ФЗ.
Мероприятия систематического наблюдения
Удаленный контроль за выполнением законодательства операторами ПДн имеет свои особенности:
- Проводятся каждые 3 года согласно 294-ФЗ
- Могут быть проведены как в отношении включенных в Реестр операторов, так и не включенных
- Предупреждение о плановых проверках происходит заранее – за 3 рабочих дня
- Чаще всего проводятся на основании выявленных нарушений, жалоб или результатов других мероприятий
Порядок подготовки к проверке
- Назначить ответственных лиц за обработку и безопасность ПДн
- Провести внутренний аудит процессов обработки ПДн
- Разработать необходимую документацию по безопасности
- Ознакомить сотрудников с локальными актами по защите ПДн
- Подать уведомление о намерении обработки ПДн
- Определить местоположение баз данных ПДн
- Вести актуальные журналы и планы проверок
- Обратить внимание на разработку согласий для субъектов данных
Перечень замечаний от Роскомнадзора
Чаще всего Роскомнадзор делает следующие рекомендации:
- Выложить Политику обработки на сайт
- Актуализировать уведомление об обработке ПДн
- Прописать обязанности в договоре передачи ПДн
- Обеспечить раздельное хранение и контролируемый доступ к документам с ПДн
- Собрать подписи сотрудников о соблюдении конфиденциальности
Проверки ФСБ
Есть и другие проверки организаций, например, ФСБ. Необходимо быть готовым к ним и следовать всем рекомендациям и требованиям соответствующих органов.
Федеральная служба безопасности, ФСБ – регулятор в сфере обеспечения информационной безопасности.
Проводится согласно «Плану проведения плановых проверок юридических лиц и индивидуальных предпринимателей».
Основания для проведения внеплановой проверки
Подготовка к проверкам ФСБ
Требования по технической защите информации
Проверяемые требованияЧто предоставляется
Организационные меры защиты информации– Приказ о назначении ответственного пользователя СКЗИ – Инструкция ответственного пользователя СКЗИ
Криптографические меры защиты информации– Модель угроз на каждую ИС – Документы на поставку СКЗИ организации
Разрешительная и эксплуатационная документация на СКЗИ– Лицензия на СКЗИ – Сертификаты соответствия на СКЗИ – Формуляры на СКЗИ
Требования к персоналу, допущенному к работе с СКЗИ– Перечень сотрудников, допущенных к работе с СКЗИ – Инструкция пользователей СКЗИ
Эксплуатация СКЗИ– Журнал поэкземплярного учета СКЗИ – Лицевые счета пользователей СКЗИ – Акты установки СКЗИ
Оценка соответствия применяемых СКЗИ– СКЗИ – Дистрибутивы на СКЗИ
Типовые нарушения при проверках ФСБ России
Федеральная служба по техническому и экспортному контролю, ФСТЭК – регулятор в сфере обеспечения технической защиты информации.
Подготовка к проверкам ФСТЭК России
Соблюдение обязательных требований в области технической защиты информации, в том числе ПДн при их автоматизированной обработке в информационных системах (ГИС/ИСПДн)– Приказ о назначении ответственных за обеспечение безопасности информации – Инструкция ответственного за обеспечение безопасности информации – Модели угроз на каждую ИС – Акты классификации ИС – Сертифицированные СЗИ
Эксплуатационные документы и материалы аттестационных испытаний объектов информатизации– Сертификаты, формуляры на СЗИ – Лицензии на СЗИ – Аттестационная документация – Технический паспорт ИС – Журнал учета СЗИ
Техническая и иная документация по созданию системы защиты информации в ГИС– Техническое задание на создание системы защиты – Регламент применения технических мер по защите информации
Требования к персоналу, допущенному к работе с СКЗИ– Договор/контракт на создание системы защиты информации – Материалы о результатах контроля эффективности
Об ответственности за несоблюдение требований законодательства в сфере защиты персональных данных писали тут.
Обо всех обновлениях ФЗ-152 “О персональных данных” – тут.
Подробнее об аттестации информационных систем, о которой упоминали выше – здесь.
Если остались вопросы по теме персональных данных и их защите – напишите нам сюда.
Навигация по записям
Юридическая компания «Пепеляев Групп» сообщает, что 18 ноября 2023 года вступил в силу Приказ Минцифры России от 17.08.2023 № 720Приказ Минцифры России от 17.08.2023 № 720 «О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15 ноября 2021 г. № 1187» , дополняющий перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных.
Приказом Минцифры России от 15.11.2021 № 1187Приказ Минцифры России от 15.11.2021 № 1187 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных» утвержден перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных (далее – индикатор риска). Выявление Роскомнадзором у оператора хотя бы одного индикатора риска является основанием для проведения внепланового контрольного (надзорного) мероприятия (далее – внеплановой проверки
Приказом Минцифры от 17.08.2023 № 720 к данному перечню добавлен новый индикатор риска, а именно:
Рекомендации
В соответствии с ч. 2 ст. 18.1 Федерального закона «О персональных данных» оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Политика в отношении обработки персональных данных должна определять для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных основанийП. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» .
Роскомнадзором активно проводятся мероприятия по контролю без взаимодействия с контролируемым лицом, которые включают в себя:
a) наблюдение за соблюдением требований при размещении информации в сети «Интернет»;
b) наблюдение за соблюдением требований посредством анализа информации о деятельности контролируемого лица, которая представляется оператором (например, в уведомлении о намерении осуществлять обработку персональных данных) в Роскомнадзор или может быть получена Роскомнадзором (в том числе в рамках межведомственного информационного взаимодействия)П. 59 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденного Постановлением Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных» .
То есть Роскомнадзор вправе самостоятельно анализировать сайт оператора (без взаимодействия с ним). Полагаем, что в случае сравнения Роскомнадзором информации, указанной в реестре операторов персональных данных, и в политике в отношении обработки персональных данных, размещенной на сайте оператора, и выявления несоответствий в указанных сведениях, в отношении оператора может быть проведено внеплановое контрольное (надзорное) мероприятие.
Указанный выше индикатор риска действует с 18 ноября 2023 г.
Помимо приведенного выше, основанием для проведения Роскомнадзором внеплановой проверки может также стать выявление одного из следующих индикаторов риска:
В соответствии с п. 1 ч. 3 ст. 23 Федерального закона «О персональных данных» Роскомнадзор имеет право запрашивать у физических или юридических лиц (операторов) информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию. Оператор обязан сообщить в Роскомнадзор необходимую информацию в течение 10 рабочих дней с даты получения такого запроса.
В то же время согласно ч. 1 ст. 17 Федерального закона «О персональных данных», если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в Роскомнадзор или в судебном порядке.
Если в течение календарного года Роскомнадзором будет установлено 10 и более фактов несоответствия сведений, предоставляемых оператором, и информации, поступившей от субъектов персональных данных, в отношении оператора может быть проведено внеплановое контрольное (надзорное) мероприятие.
Полагаем, в данном случае речь идет об «утечках» персональных данных в тех случаях, когда невозможно достоверно определить, кому именно принадлежит база данных, подверженная «утечке», однако по отдельным признакам можно говорить о принадлежности базы данных определенному оператору.
Напомним, что предметом федерального государственного контроля (надзора) за обработкой персональных данных является соблюдение операторами обязательных требований в области персональных данных, установленных ФЗ «О персональных данных» и принимаемыми в соответствии с ним иными нормативными правовыми актами.
В соответствии с п. 37 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данныхУтверждено Постановлением Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных». такой контроль (надзор) осуществляется посредством проведения плановых и внеплановых контрольных (надзорных) мероприятий (далее – проверок).
Исходя из положений п. 11(3) Постановления Правительства РФ от 10.03.2022 № 336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля» до 2030 года в планы проведения плановых проверок включаются проверки только в отношении операторов, отнесенных к категории высокого рискаКритерии отнесения операторов к определенной категории риска определены Приложением к Положению о контроле за обработкой персональных данных. .
Что касается внеплановых проверок, то в 2023 году они проводятся исключительно по основаниям, перечисленным в пункте 3 Постановления Правительства № 336, в том числе:
В соответствии с положениями ч. 2 ст. 90 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» в случае выявления несоответствий требованиям законодательства результатом проведенной внеплановой проверки может стать:
Также напомним, что административная ответственность за нарушение законодательства РФ в области персональных данных установлена ст. 13.11 Кодекса РФ об административных правонарушениях. Например, в случае отсутствия у оператора согласий на обработку персональных данных (если их получение обязательно), на него может быть наложен административный штраф в размере от 60 тыс. до 100 тыс. руб.Ч. 1 ст. 13.11 КоАП РФ А в случае использования оператором баз данных, находящихся за пределами территории РФ, при сборе персональных данных, в том числе посредством сети «Интернет»Ч. 8 ст. 13.11 КоАП РФ. , штраф может составить от 1 млн руб. до 6 млн руб.
О чем подумать, что сделать
Проведение Роскомнадзором внеплановой проверки (даже в условиях действующих ограничений) в отношении оператора возможно в следующих случаях:
Таким образом, у каждого оператора персональных данных есть риск проведения Роскомнадзором внеплановой проверки, что может привести к привлечению оператора к административной и/или уголовной ответственности.
Для минимизации рисков привлечения к ответственности за нарушения в области законодательства о персональных данных рекомендуем:
Особое внимание рекомендуем уделить содержанию и функционала сайта компании. Необходимо:
В случае, если компания не подавала уведомление о намерении осуществлять обработку персональных данных и не внесена в реестр операторов персональных данных, необходимо дополнительно оценивать риски, связанные с возможным выявлением несоответствий в предоставленной информации.
Помощь консультанта
Специалисты «Пепеляев Групп» готовы оказать компаниям всестороннюю юридическую поддержку в соблюдении требований законодательства о персональных данных.
Спектр услуг «Пепеляев Групп» включает:
Профилактические визиты
Кроме вышеперечисленных проверок, возможны профилактические визиты. В этом случае проверяют организации, которые подали уведомление о начале обработки персональных в 2022 году.
Особенности профилактических визитов:
Проверяемые ЛНА вы можете заранее подготовить в сервисе 152DOC. Проведём для вас демонстрацию и научим, как это сделать.
Все вышеуказанные проверки проводятся на основании Федерального закона от 31 июля 2020 года № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» и Постановления Правительства РФ от 29 июня 2021 года № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных».
Мероприятия по контролю без взаимодействия с контролируемым лицом
В рамках данных контрольно-надзорных мероприятий Роскомнадзор проверяет сайты компаний. Организацию об этом заранее не предупреждают.
Что проверяет Роскомнадзор:
По результатам выявленных нарушений Роскомнадзор направляет на электронную почту компании предписание об устранение ошибок в установленные сроки. Если компания не отреагирует на запрос контролирующего органа, то могут выписать штрафы.
У Роскомнадзора появится новый повод для внеплановой проверки в рамках контроля за обработкой персональных данных
С 18 ноября Роскомнадзор получит новое основание для проведения внеплановых проверок (документарных, выездных или инспекционных визитов) операторов персональных данных. Такая проверка в текущем году может быть проведена несмотря на мораторий, но по согласованию с прокуратурой (Приказ Минцифры России от 17 августа 2023 г. № 720 (зарег. в Минюсте 07.11.2023)).
Это основание – не менее трех несоответствий между сведениями, которые размещены на сайте оператора, и сведениями, которые оператор ранее включил:
Выявить такое несоответствие Роскомнадзор может в ходе проверочных мероприятий без взаимодействия с оператором, они не подчиняются требованиям Закона о госконтроле и проводятся ведомством по собственному усмотрению.
Напомним, что в уведомлениях отражаются, в том числе, категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных. Если изменились эти, ранее представленные в уведомлениях, сведения, то оператор обязан уведомить об этом Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.