Закон «О персональных данных». Проверки. Кто проверяет, кого проверяют и как. Часть 1

 

Для начала надо понять, что такое персональные данные и почему эта тема тревожит многие компании.

Согласно Федеральному закону от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных», персональные данные — любая информация, которая прямо или косвенно касается определенного или определяемого физического лица (субъекту персональных данных).

В любой компании происходит сбор и обработка персональных данных в отношении кандидатов на вакантную должность, клиентов. К тому же, с 1 июля текущего года, вступили в силу поправки в закон, которые скорректировали ответственность за нарушения требований законодательства. Поэтому вам необходимо знать какие организации контролируют деятельность в данной сфере, кого они проверяют и как.

Итак, кто проверяет:

• Роскомнадзор

• Государственная инспекция труда

• ФСТЭК и ФСБ

Основным контролирующим органом в данной сфере является Роскомнадзор. Он призван защищать права субъектов персональных данных и контролировать обработку персональных данных, в части соответствия ее механизмов требованиям законодательства. Для выполнения своих функций Роскомнадзор владеет следующим набором полномочий:

• проверка информации, указанной организацией в Уведомлении;

• обладает возможностью ограничивать доступ к данным, которые обрабатываются с нарушением законодательства;

• имеет право обращаться в суд с исками в защиту прав субъектов персональных данных и представлять их в суде;

• может привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона;

• должен рассматривать жалобы и обращения по вопросам, связанным с обработкой персональных данных, а также принимать по ним решения в пределах своих полномочий.

• может требовать от оператора уничтожения персональных данных, полученных незаконным путем

На сегодняшний день Роскомнадзор осуществляет следующую деятельность, для реализации своих полномочий:

• обработка обращений граждан;

• проведение контрольных и надзорных мероприятий;

• ведение Реестра операторов персональных данных. http://rkn.gov.ru/personal-data/register/

Роскомнадзор рассматривает жалобы по закону от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации». Любой гражданин может направить жалобу в письменном виде или через электронную форму на сайте Роскомнадзора или портала Госуслуг. Все обращения должны быть рассмотрены в течении 30 дней. В Правительстве рассматривается проект нового Административного регламента. На сегодняшний день Роскомнадзор проводит проверки на основании Административного регламента, утвержденного приказом Министерства связи и массовых коммуникаций РФ № 312 от 14.11.2011 года.

Роскомнадзор осуществляет плановые, внеплановые проверки, а также документарные и выездные проверки. http://rkn.gov.ru/plan-and-reports/

Плановые проверки проводятся на основании ежегодного плана. Предметом проверки Роскомнадзора являются: деятельность по обработке персональных данных; документы, характер информации в которых предполагает или допускает включение в них персональных данных; информационные системы персональных данных.

Т.е., Роскомнадзор не проверяет наличие и состояние технической защиты информационных систем персональных данных. Его главная задача — проверка правовых оснований обработки персональных данных. Положения, инструкции, приказы и прочие документы не являются основным объектом проверок. Уполномоченный орган интересуют сами персональные данные и соответствие объема этих данных целям обработки.

В уведомлении о плановой проверке, как правило, написано, что проверяемое лицо должно представить, полный перечень необходимых документов. Проверить могут всех: юридических лиц, которые подали Уведомление об обработке персональных данных в реестр операторов, и тех, кто этого не сделал. Как плановая, так и внеплановая проверка проводятся не более 20 дней.

Внеплановые проверки Роскомнадзора бывают документарные и выездные. При документарной проверке Роскомнадзор делает запрос на предоставление необходимых документов и указывает сроки, в которые их надо предоставить. О проведении внеплановой проверки оператор уведомляется не позднее, чем за 24 часа до ее начала любым доступным способом. Обычно это делается по телефону или по факсу. Такие проверки проводятся, если истек срок исполнения оператором ранее выданного предписания об устранении выявленного нарушения. Чаще всего после плановой проверки Роскомнадзор проводит внеплановую. Это делается, для того, чтобы проконтролировать устранение выявленного нарушения. Такая проверка редко бывает выездной. Обычно она проводится путем запроса необходимых документов, свидетельствующих об устранении нарушения; если в службу или ее территориальные органы поступило обращение от граждан, юридических лиц, индивидуальных предпринимателей, информация от органов государственной власти, органов местного самоуправления, из средств массовой информации.

Проверки Государственной инспекции труда

В ТК РФ есть 14 глава: «Защита персональных данных работника». На проверках обращают внимание на требование пункта 8 статьи 86: «работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области». Т.е., проверяют наличие такого документа и факт ознакомления с ним всех работников.