(343)361-32-88

Проверка Роскомнадзора

Первое, что потребуют проверяющие, —  уведомление в Роскомнадзор.

Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Какие персональные данные можно обрабатывать без уведомления:

-данные, которые обрабатываются в соответствии с трудовым законодательством;

-данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не  распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

-данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

-данные, сделанные субъектом персональных данных общедоступными;

-данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;

-данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных  целях;

-данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

-данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

-данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные.

Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных. К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует  обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.

В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

С 1 сентября 2015 года. За использование первичной базы за пределами РФ вам грозит штраф  и блокировка ресурсов в течение 3 рабочих дней с даты судебного решения.  Разблокировать доступ и «выйти» из реестра можно будет только по решению суда.

Условия для проведения внеплановых проверок:

1. Истечение срока исполнения предписания.

2. Обращения граждан (требует согласования с органами прокуратуры).

3. Информация от органов государственной власти (ОГВ), органов местного самоуправления (ОМСУ) и СМИ о фактах нарушения законодательства.

4. Поручения Президента и Правительства РФ.

5. Нарушения по итогам систематического наблюдения.

6. Несоответствие сведений, содержащихся в уведомлении, фактической деятельности.

7. Неисполнение требований Роскомнадзора (РКН) об устранении нарушения.

8. На основании требования прокуратуры.

Критерии включения в план проверок:

1. Трёхлетний период с момента окончания проведения последней плановой проверки.

2. Информация от ОГВ, ОМСУ и СМИ о фактах нарушения законодательства и результаты систематического наблюдения.

3. Обработка ПДн значительного числа субъектов ПДн/биометрии/специальных категорий ПДн.

4. Непредставление информации, в том числе уведомительного характера, в соответствии с ФЗ-152.