Любая компания или индивидуальный предприниматель, имея при себе штат сотрудников и работая с клиентами, использует персональные данные этих лиц в своей деятельности. Это может быть как в целях исполнения договора, положений трудового законодательства, так и для продвижения своего продукта. При этом предприниматели часто забывают о том, что обращаться с персональными данными людей нужно в строгом соответствии с законом и у органов есть полномочие проводить проверку такого соответствия. Часто это заканчивается выявлением нарушений и привлечением к ответственности.
СУТЬ ПРОВЕРКИ
Проверка в данном случае означает оценку соответствия содержащихся у юридического лица, индивидуального предпринимателя персональных данных, включая их оформление, содержание, обращение. Как правило, проверки Роскомнадзора подразделяют на несколько видов:
• Плановая проверка. Согласно Федеральному закону от 31.07.2020 №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», плановые проверки являются мерой государственного контроля, проводимой в отношении предпринимателя не чаще чем раз три года на основе ежегодного плана. Это означает что, проверяемые лица могут заранее ознакомиться с «планами» Роскомнадзора на этот год и подготовиться к будущей проверке. Говоря о подготовке, Роскомнадзор также направит уведомление о готовящейся проверке за 24 часа.
• Внеплановая проверка, предусмотренная в случае поступления жалобы на предпринимателя или самостоятельного обнаружения Роскомнадзором нарушений. В данном случае также предусмотрено уведомление предпринимателя за 24 часа до начала проверки.
Вышеуказанные виды проверок могут проводиться в двух основных формах:
• Документарная проверка. Осуществляется путем запроса Роскомнадзором документов, которые затем будет необходимо доставить в территориальный орган. Отметим, что документарная проверка проводится только в плановом порядке.
• Выездная проверка, то есть проверка документации инспекторами на местах.
Как правило, в ходе проверки проверяются:
• Документы предприятия, содержащие в себе персональные данные. К таким, например, относят уведомление о работе с персональными данными, которое предприятия должно было направить в Роскомнадзор, согласия лиц на обработку персональных данных, соглашения о неразглашении, положение о персональных данных в организации и др;
• Информационные системы, программное обеспечение на предприятии, осуществляющее обработку персональных данных;
• Сайт организации.
• Условия хранения и обращения с документами, содержащими в себе персональные данные;
• Наличие разрешений у лиц, имеющих доступ к персональным данным.
Таким образом, в ходе проверки Роскомнадзор выяснит, соответствует ли Ваша действующим требованиям законодательства о персональных данных, а также сведениям, содержащимся в ранее поданном уведомлении о работе с персональными данными. К таким относятся:
• Сведения о предприятии;
• Цель обработки персональных данных;
• Сведения о лице, ответственном за организацию обработки персональных данных и лицах, имеющих к ней доступ;
• Предпринимаемые меры по защите персональных данных;
• Дата начала, а также срок или условие прекращения обработки персональных данных и др.
Если по итогу проверки будут выявлены несоответствия, предприятие (и/или его сотрудников) могут привлечь к гражданской, административной и даже уголовной ответственности.
КАК ПОДГОТОВИТЬСЯ
Первое, что можно посоветовать при подготовке – это начать процесс заранее и не откладывать. Как уже было упомянуто, предупреждение о скорой проверке Вам направят лишь за сутки и привести все в порядок за такой срок попросту невозможно.
Также рекомендуется:
• Ознакомиться с годовым планом проверок Роскомнадзора. Если Вы обнаружите себя в этом списке, у Вас уже будет представление о том, сколько времени в Вашем распоряжении;
• Убедиться, что уведомление о работе с персональными данными было подано. Еще один важный ориентир, он показывает, насколько Ваша действительная документация соответствует сведениям Роскомндазора. Кроме факта самой подачи, нужно проверить, что персональные данные используются только в целях, указанных в уведомлении, указанные лица действительно работают в организации и исполняют возложенные обязанности и др.
• Привести в соответствие внутреннюю документацию. Это касается положения Политики компании в отношении персональных данных, приказа о назначении ответственного лица, политики обработки персональных данных на сайте организации, согласий на обработку персональных данных и не только. Если окажется, что часть документации отсутствует – самое время приступить к ее разработке.
• Проверить условия хранения документов, содержащих персональные данные. Данные должны храниться в сейфе для бумажных документов и в ограниченном доступе на компьютерах.
• Если нет ответственного за организацию обработки персональных данных – назначить его. Как правило, в качестве ответственного выбирают бухгалтера, кадровика или юриста предприятия.
• Подготовьте персонал к возможным проверкам. Это включает как разъяснение внутреннего механизма работы, так и психологические тренинги.
• Проверьте, соответствует ли Ваш сайт требованиям закона. Одним из таким требований является наличие на ней в доступном для пользователя месте политики конфиденциальности.
БЮРО «ГАЛИФАНОВ, МАЛЬКОВ И ПАРТНЕРЫ» является экспертом в области работы с Роскомнадзором с подтвержденным опытом и блестящей репутацией. Мы заботимся о наших клиентах, стараемся оказывать максимальную поддержку и помощь. Заполните форму и получите бесплатную консультацию эксперта по вопросам соответствия сайта законодательству.