Мы на Workspace
Наверх
8(863)303-51-41
Заказать звонок
phone phone phone phone
Gendalf Gendalf
Главная  →  Новости  →  ЗПДн 
2815

Проверка Роскомнадзора по 152-ФЗ: что нужно знать и как подготовиться в 2024 году

Плескач Константин Узнайте, как проходит проверка Роскомнадзора по 152-ФЗ, что включает контроль за персональными данными и как подготовиться к проверке

Содержание

Роскомнадзор регулярно проверяет операторов персональных данных. Это помогает выявить проблемы и нарушения в их работе и оценить защищенность информации, которую они обрабатывают. Чтобы проверка прошла успешно, к ней нужно подготовиться.

Зачем нужны требования

Штрафы за нарушение требований к обработке персональных данных

Читать

Персональные данные – личная информация пользователей, которую третьи лица используют с разрешения ее владельца. Это могут быть ФИО, контакты, фактический адрес проживания и так далее. Такие данные требуют надежной защиты, чтобы не попасть в руки мошенников или не быть использованными для незаконной рекламы.

Проверки Роскомнадзора: что нужно знать

В первую очередь нужно изучить, какими документами регламентируются проверки. Список таких документов представлен ниже.

  • Постановление Правительства РФ от 16.03.2009 № 228. Здесь указана структура Роскомнадзора и его законные полномочия.
  • Постановление Правительства РФ от 29.06.2021 № 1046. Описывает порядок и правила поведения инспекционных проверок Роскомнадзором. Здесь же расписаны права и обязанности инспекторов контролирующего органа, а также операторов персональных данных. Указаны типы проверок, группы риска.
  • Приказ Минкомсвязи РФ от 14.11.2011 № 312. Это документ пригодится, если появилось желание оспорить результаты состоявшейся проверки Роскомнадзора.

Федеральный закон от 27.07.2006 № 152-ФЗ – основной документ, в котором прописаны главные требования к работе с персональными данными. Однако ориентироваться нужно не только на закон, но и на категорию данных, которые обрабатывает оператор.

Ответы на непростые вопросы по защите персональных данных (152-ФЗ)

Читать

Перечень нормативных актов, где описаны требования к работе с такими данными широк и содержит как базовые, так и специфические требования, в зависимости от сферы деятельности. К примеру, операторам биометрических данных необходимо собирать дополнительные документы, которые регламентируют обработку, хранение и способы защиты таких данных.

Документов очень много и разобраться в них непросто. Прежде всего достаточно выполнить несколько важных шагов.

  • Заранее определите перечень актов, которые относятся непосредственно к вашей организации. Ориентируйтесь на категорию персональных данных, которую обрабатываете.
  • Изучите выбранные нормативные акты и определите операции и требования, обязательные к исполнению.
  • Оцените свою подготовку к проверке, ориентируясь на требования выбранного документа – успех проверки зависит от их выполнения.

Какими могут быть проверки РКН и что проверяют

Роскомнадзор проводит проверки тремя основными способами:

  1. Инспекционный визит — для компаний с высоким или значительным риском, а также для тех, кто только начинает работать с персональными данными.
  2. Документарная проверка — без визита на место: РКН запрашивает документы, которые нужно отправить в ведомство.
  3. Выездная проверка — когда инспекторы приезжают в компанию и на месте проверяют, соблюдаются ли законы.

Основные моменты, которые проверяет РКН при контроле за персональными данными, представлены ниже.

  • Зарегистрированы ли вы в Реестре операторов.
  • Есть ли назначенный ответственный за обработку персональных данных.
  • Разработана ли Политика по обработке данных, и доступна ли она для всех.
  • Наличие локальных документов, регулирующих обработку данных.
  • Как организовано хранение и уничтожение персональных данных.
  • Есть ли у вас согласие на обработку данных (если нет других правовых оснований), и соответствует ли оно требованиям закона.
  • Обеспечена ли защита персональных данных в ваших информационных системах.
  • Ознакомлены ли сотрудники, работающие с персональными данными, с законодательными требованиями и внутренними документами.
  • Реагируете ли вы на жалобы, запросы или требования от субъектов данных.
  • Прекращаете ли вы обработку данных, когда это требуется по закону.

Проверьте свою готовность к проверке Роскомнадзора прямо сейчас

Пройдите наш короткий тест и узнайте, соответствует ли ваша работа с персональными данными требованиям 152-ФЗ. Это займет всего пару минут.

Пройти тест

Сайт – тоже объект проверки

Роскомнадзор проверяет, собираются ли персональные данные на сайте через формы, регистрацию или аналитические программы. Важные моменты: наличие cookie-баннера, согласие на обработку данных, опубликованная Политика и соблюдение требований локализации данных. Проверяется также правомерность публикации персональных данных, трансграничная передача и избыточный сбор данных.

Как подготовиться к проверке сайта?

  • Убедитесь, что сайт размещен в России.
  • Проверьте наличие cookie и метрических программ, а также Политику и Согласие.
  • Добавьте баннер с предупреждением о сборе данных.
  • Убедитесь, что формы сбора данных содержат ссылки на Политику и Согласие.
  • Проверьте актуальность Политики и уведомления в РКН.
  • Убедитесь, что нет предустановленных галочек в формах Согласия.
  • Подтвердите правомерность публикации персональных данных.

Что такое профилактический визит и как он проводится

Профилактический визит — это встреча, целью которой является предотвращение нарушений и рисков для законных интересов. Обычно проводится как беседа, где специалисты Роскомнадзора могут общаться с представителями компании либо на месте, либо по видеосвязи. Визит может инициировать как сам оператор, так и контролирующий орган, но только с согласия проверяемого.

Такое мероприятие часто касается новых операторов, которые начали обрабатывать персональные данные. Важно, что Роскомнадзор заранее уведомляет о визите (не позднее чем за 5 рабочих дней), и компания может отказаться от визита без последствий, уведомив за 3 дня.

Во время визита инспектор консультирует, отвечает на вопросы и дает рекомендации по исправлению возможных ошибок. Наказания за нарушения не предусмотрено. Это шанс для компании выявить слабые места и устранить их без штрафов.

Как подготовиться к профилактическому визиту

  1. Подготовьте документы — соберите все локальные акты, касающиеся обработки персональных данных. Лучше отправить их заранее, чтобы инспектор мог подготовить рекомендации.
  2. Составьте список вопросов — подготовьте вопросы, связанные с обработкой данных, чтобы получить бесплатные консультации по важным аспектам.
  3. Пригласите ответственных сотрудников — это важно, чтобы все, кто имеет отношение к обработке данных, могли проконсультироваться и узнать, какие требования законодательства они должны соблюдать.

На что обратит внимание инспектор Роскомнадзора

Помимо ознакомления с документами оператора, инспектора интересует и факт подачи организацией–оператором уведомление в Роскомнадзор в случае, если нет никаких исключений.

Это связано с тем фактом, что далеко не все категории данных можно использовать операторам без уведомления в Роскомнадзор. Они прописаны в ч. 2 ст. 22 152-ФЗ.

Если организация передавала уведомление, в ходе проверки инспектор ориентируется именно на него. Сравнивает указанные пункты с реальным процессом обработки персональных данных в организации.

Как владельцу сайта избежать штрафов из-за нарушений в работе с персональными данными – 5 шагов

Читать

Если какой–то пункт уведомления не соответствует, организации грозит штраф за отсутствие информационного письма об изменениях в процессах обработки данных.

Также инспектора Роскомнадзора интересует сайт компании, который он будет тщательно изучать. Здесь обязательно должна находиться политика компании по обработке персональных данных.

Инспектор может поспросить ответственного сотрудника показать формы документов, используемые для сбора персональных данных. К примеру, анкеты для респондентов.

При проверке особое внимание уделяют обработке специальных категорий персональных данных. Это информация о расовой принадлежности, политических взглядах, состоянии здоровья, интимной жизни и так далее. Из собирают лишь с письменного согласия владельца данных и только на законных основаниях.

Если организация передает персональные данные другим юридическим лицам, инспектор обязательно проверит договоры на осуществление этой операции. Информация в договоре должна соответствовать требованиям ч. 3 ст. 6 152-ФЗ.

Обратите внимание

Закон

1 сентября 2021 года вступил в силу Приказ Роскомнадзора от 24.02.2021 № 18. В нем описаны и утверждены требования к содержанию согласия на обработку персональных данных, на распространение которых есть разрешение.

Не стоит упускать из виду и помещения в организации из нужно обеспечить контролируемым доступом. Это гарантирует недоступность персональных данных тем лицам, которые не имеют к ним отношения.

И последнее: позаботьтесь о раздельном хранении персональных данных разных физических лиц. К примеру, личные данные сотрудников не должны находиться рядом с данными пользователя сайта. И также важно поддерживать порядок в местах хранения, чтобы у инспектора не было к ним вопросов.

Как подготовиться к проверке Роскомнадзора

Самый простой вариант – пригласить специалиста по защите персональных данных, который оценит вашу подготовку к проверке и поможет исправить недочеты. Но если вы планируете готовиться самостоятельно, нужно выполнить ряд обязательных действий.

  1. Определите ответственного за выполнение требований закона. Помните, что от этого сотрудника зависит, будете ли вы работать с персональными данными после проверки или нет.
  2. Определите ответственного за обработку персональных данных. Это должен быть сотрудник, которых хорошо знает процесс обработки.
  3. Изучите процесс обработки данных. Знаете ли вы, зачем организация собирает персональные данные? Как их использует? Сотрудники организации должны знать, что ответить на эти вопросы в случае необходимости.
  4. Разработайте на основе полученных знаний свой пакет документов с политикой в отношении обработки персональных данных, обязательными приказами и положениями, связанные с этим процессом. Не забудьте их утвердить.
  5. Ознакомьте с новыми документами сотрудников, имеющих отношение к обработке данных. Важно, чтобы информация их этих документов не была доступна других сотрудникам, которые не работают с персональными данными.
  6. Разместите в общем доступе политику по обработке персональных данных вашей организации. Это нужно, чтобы каждый желающий мог ее прочесть и убедиться в правильности действий вашей организации. Разместить можно на сайте, на информационном стенде, в мобильном приложении и так далее.
  7. Подайте в Роскомнадзор уведомление об обработке персональных данных. Это можно делать через сайт Госуслуг, сайт Роскомнадзора или в бумажном виде в отделении. После этого компанию внесут в реестр операторов персональных данных, что также является требованием 152-ФЗ.

Проверка Роскомнадзора пройдет успешно, если соблюсти все требования и постоянно контролировать их исполнение. Не забывайте подавать уведомление и своевременно принимать все организационно-правовые меры.

Поможем подготовится к проверке Роскомнадзора

Проведем аудит, оценим соответствие требованиями закона и составим ТЗ с рекомендациями по улучшению.

Оставить заявку
Плескач Константин

Автор: Плескач Константин

эксперт по продуктам кибербезопасности

Все статьи автора
Поделиться  

Рейтинг статьи:

4.9

(на основе 11 голосов)

Читайте также

Типичные ошибки при построении системы защиты персональных данных

Ответы на непростые вопросы по защите персональных данных (152-ФЗ)

Система защиты персональных данных: особенности, классификация уровней защиты

Подписывайтесь на нас в соцсетях

Рейтинг сайта:

4.8

(на основе 482 голосов)

Материалы сайта gendalf.ru носят информационный характер и не являются публичной офертой.
Вы можете использовать материалы данного сайта, при условии наличия ссылки (или гиперссылки) на источник gendalf.ru.
На странице использованы графические материалы: Изображения https://www.freepik.com, иконки www.flaticon.com.

© 1993-2025 ГЭНДАЛЬФ