Акт о результатах проведения проверки обеспечения защиты персональных данных

Обновлено: 17.05.2024

района Республики Татарстан

от 23.06.2020 № 223

РЕГЛАМЕНТ

проведения внутреннего контроля соответствия обработки персональных данных в Исполнительном комитете Алексеевского муниципального района Республики Татарстан требованиям к защите персональных данных

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Инцидент информационной безопасности – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. Инцидентами информационной безопасности являются:

• утрата услуг, оборудования или устройств;
• системные сбои или перегрузки;
• ошибки пользователей;
• несоблюдение политики или рекомендаций по информационной безопасности;
• нарушение физических мер защиты;
• неконтролируемые изменения систем;
• сбои программного обеспечения и отказы технических средств;
• нарушение правил доступа.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Средство защиты информации – программное обеспечение, программно-аппаратное обеспечение, аппаратное обеспечение, вещество или материал, предназначенное или используемое для защиты информации.

1. Общие положения

1. Настоящий Регламент проведения внутреннего контроля соответствия обработки персональных данных в Исполнительном комитете Алексеевского муниципального района Республики Татарстан требованиям к защите персональных данных (далее – Регламент), разработан в соответствии с законодательством Российской Федерации о персональных данных (далее – ПДн) и нормативными правовыми актами (методическими документами) федеральных органов исполнительной власти по вопросам безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн).
2. Настоящий Регламент определяет порядок проведения внутреннего контроля соответствия обработки ПДн (далее – Внутренний контроль), требованиям к защите ПДн.
3. Регламент обязателен для исполнения всеми работниками Исполнительного комитета Алексеевского муниципального района Республики Татарстан (далее – Исполком), непосредственно осуществляющими защиту ПДн.

Управляющий делами

Исполнительного комитета Г.А.Юсупова

к Регламенту проведения внутреннего контроля соответствия обработки персональных данных в Исполнительном комитете Алексеевского муниципального района Республики Татарстан требованиям к защите персональных данных

ФОРМА

План проведения внутреннего контроля

соответствия обработки персональных данных

в Исполнительном комитете Алексеевского муниципального района Республики Татарстан

Анализ актуальности локальных нормативных актов (внутренних документов) по вопросам обеспечения безопасности персональных данных:

• Проверка соответствия локальных нормативных актов (внутренних документов) по вопросам обеспечения безопасности персональных данных действующему законодательству РФ по защите персональных данных;
• Учет в локальных нормативных актах (внутренних документах) по вопросам обеспечения безопасности персональных данных изменений в деятельности Исполнительного комитета Алексеевского муниципального района Республики Татарстан по обработке и защите персональных данных.

1 раз в три года или по мере обновления законодательства РФ

Проверка ознакомления работников с положениями законодательства РФ по защите персональных данных, документами, определяющими политику Исполнительного комитета Алексеевского муниципального района Республики Татарстан в отношении обработки персональных данных и организационно-распорядительными документами по вопросам персональных данных.

Проверка выполнения работниками – пользователями информационных систем персональных данных инструкций по эксплуатации информационных систем персональных данных, положения о разрешительной системе доступа.

Проверка актуальности прав разграничения доступа пользователей информационных систем персональных данных, необходимых для выполнения должностных обязанностей.

Проверка актуальности определенных угроз безопасности персональных данных для информационных систем персональных данных.

Проверка полноты реализованных технических мер по обеспечению безопасности персональных данных в информационных системах персональных данных с учетом структурно-функциональных характеристик информационных системах персональных данных, информационных технологий, особенностей функционирования информационных системах персональных данных.

Проверка наличия сертифицированных средств защиты информации, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

Проверка правил обращения со съемными машинными носителями персональных данных.

Проверка актуальности информации, содержащейся в Уведомлении об обработке персональных данных, предоставленной в Роскомнадзор.

Проверка соответствия условий использования средств криптографической защиты условиям, предусмотренным эксплуатационной и технической документацией к ним.

Выявление уязвимостей в информационных системах персональных данных в т.ч. в системе защиты с использованием средства инструментального анализа защищенности.

к Регламенту проведения внутреннего контроля соответствия обработки персональных данных в Исполнительном комитете Алексеевского муниципального района Республики Татарстан требованиям к защите персональных данных

Проверка персональных данных - Роскомнадзор будет осуществлять контрольные и надзорные мероприятия в этой области в отношении операторов персональных данных — организаций и предпринимателей. Рассмотрим, каким законодательством регулируется проведение проверок Роскомнадзора в области защиты персональных данных, какие виды проверок предусмотрены, правила их проведения, периодичность, а также структуру итогового акта проведения надзорного мероприятия.

Проверки операторов персональных данных в 2020 году

Постановлением Правительства РФ от 13.02.2019 № 146 были утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Указанным документом регулируются вопросы проведения проверок персональных данных Роскомнадзором в части соблюдения требований к их защите со стороны операторов.

В связи с тем, что постановление № 146 принято не так давно, Роскомнадзор при проверках персональных данных в 2019 году был ограничен. Не все предусмотренные Правилами инструменты могли быть использованы ведомством в 2019 году, поскольку планы проведения надзорных мероприятий ведомством еще не был сформированы.

Виды надзорных мероприятий Роскомнадзора

Правила организации и осуществления государственного контроля и надзора предусматривают следующие виды проверок Роскомнадзора по защите персональных данных:

• плановые — раздел II;
• внеплановые — раздел III;
• документарные — раздел VI;
• выездные — раздел VII.

Документарная проверка может проводиться только в ходе плановой (п. 25), выездная же проверка может быть как плановой, так и внеплановой.

В отношении плановых мероприятий Правила в п. 5 указывают, что они проводятся на основании ежегодного сформированного плана, подлежащего размещению в интернете (на официальном сайте РКН и его территориальных органов). Каждый оператор может ознакомиться с ежегодным планом и при обнаружении в нем себя провести подготовку к проверке Роскомнадзора по персональным данным.

Такие проверки, согласно п. 6 Правил, проводятся не чаще 1 раза в 3 года. При этом 3-летний срок отсчитывается либо с даты начала деятельности оператора персональных данных, либо с даты окончания предыдущей проверки.

Внеплановая же проверка осуществляется вне графика по основаниям, указанным в п. 8 Правил. К таковым, в частности, относятся, обращение гражданина, неисполнение оператором ранее выданного предписания и др.

Акт проверки

По результатам проверки орган РКН, в соответствии с п. 42 и абз. 2 п. 44 Правил, составляет акт проверки и вручает его руководителю проверяемого лица или иному уполномоченному представителю. Из раздела VIII Правил следует, что итоговый акт должен содержать, в частности:

• сведения о должностном лице, непосредственно проводившем проверку;
• указание вида проводимой проверки и ее обстоятельства;
• описание выявленных нарушений;
• ссылки на нормы закона или подзаконных актов, которые были нарушены проверяемым лицом.

Если должностное лицо РКН не выявило никаких нарушений, то в заключении акта проверки Роскомнадзора по защите персональных данных делается соответствующая отметка (п. 43 Правил).

Вручение акта осуществляется лично представителю оператора персональных данных. При этом уполномоченный представитель ставит свою подпись об ознакомлении с актом и получении его второго экземпляра. Также акт может направляться почтовым отправлением с уведомлением о вручении.

П. 44 Правил допускает возможность составления акта в форме электронного документа, подписываемого усиленной квалифицированной электронной подписью. Такой документ направляется оператору в течение 10 дней после подписания.

Итоги

• Правила проведения проверок на предмет соблюдения требований по защите персональных данных со стороны операторов утверждены в начале 2019 года.
• После утверждения плана проведения проверок с ним можно будет ознакомиться на официальном сайте Роскомнадзора и, соответственно, подготовиться к проверке.
• Внеплановая проверка может быть осуществлена по заявлению гражданина, поручению президента или правительства либо в связи с невыполнением ранее выданного предписания.

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Пробный бесплатный доступ к системе на 2 дня.

ДЕПАРТАМЕНТ ОХРАНЫ ЗДОРОВЬЯ НАСЕЛЕНИЯ КЕМЕРОВСКОЙ ОБЛАСТИ

от 2 июля 2013 года N 909

ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫХ ФЕДЕРАЛЬНЫМ ЗАКОНОМ ОТ 27 ИЮЛЯ 2006 ГОДА N 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ" И ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ДЕПАРТАМЕНТА ОХРАНЫ ЗДОРОВЬЯ НАСЕЛЕНИЯ КЕМЕРОВСКОЙ ОБЛАСТИ

Во исполнение Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", постановления Коллегии Администрации Кемеровской области от 14.03.2007 N 68 "Об утверждении Положения о департаменте охраны здоровья населения Кемеровской области", иных нормативных правовых актов, в целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных федеральным законодательством, а также локальными актами департамента охраны здоровья населения Кемеровской области, приказываю:

1. Утвердить прилагаемые правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами и локальными актами департамента охраны здоровья населения Кемеровской области.

2. Ознакомить лиц, осуществляющих операции с использованием персональных данных в департаменте охраны здоровья населения Кемеровской области с утвержденными настоящим приказом правилами.

3. Назначить ответственного за организацию обработки персональных данных Гайворонского Д.В.

4. Контроль за исполнением приказа оставляю за собой.

И.о. начальника департамента
О.В.СЕЛЕДЦОВА

Приложение
к приказу
департамента охраны
здоровья населения
Кемеровской области
от 2 июля 2013 года N 909

ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ ОТ 27 ИЮЛЯ 2006 Г. N 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ" И ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ДЕПАРТАМЕНТА ОХРАНЫ ЗДОРОВЬЯ НАСЕЛЕНИЯ КЕМЕРОВСКОЙ ОБЛАСТИ

1. Общие положения

1.1. Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами и локальными актами департамента охраны здоровья населения Кемеровской области (далее - Правила), разработаны с учетом Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" и постановления Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

1.2. Настоящие Правила определяют порядок осуществления внутреннего контроля соответствия обработки персональных данных в департаменте охраны здоровья населения Кемеровской области (далее - ДОЗНКО) требованиям к защите персональных данных и действуют постоянно.

2. Тематика внутреннего контроля

1.3. Тематика проверок обработки персональных данных с использованием средств автоматизации.

1.3.1. Соблюдение пользователями информационных систем персональных данных ДОЗНКО парольной политики:

1.3.1.1. Правил формирования пароля;

1.3.1.2. Правил ввода пароля;

1.3.1.3. Правил хранение пароля.

1.3.2. Соблюдение пользователями информационных систем персональных данных ДОЗНКО антивирусной политики:

2.1.2.1. поддержка рабочего состояния антивирусного программного обеспечения;

2.1.2.2. своевременное обновление антивирусного программного обеспечения.

2.1.3. Соблюдение пользователями информационных систем персональных данных ДОЗНКО Правил работы со съемными носителями персональных данных:

2.1.3.1. хранение съемных носителей в персональных шкафчиках пользователей, запирающихся на ключ, расположенных в кабинетах, доступ к которым ограничен соответствующим приказом ДОЗНКО;

2.1.3.2. проверка съемного носителя на наличие вредоносных программ, перед каждым началом работы с ним;

2.1.3.3. исключение копирования с данного носителя файлов сомнительного содержания и установки нелицензионного программного обеспечения;

2.1.3.4. исключение передачи съемного носителя третьим лицам;

2.1.3.5. запрет на оставление съемного носителя включенным/выключенным без присмотра;

2.1.3.6. запрет на обработку информации, содержащейся на съемном носителе в присутствии третьих лиц;

2.1.3.7. запрет на вынос съемного носителя за пределы служебного помещения.

2.1.4. Соблюдение ответственными за криптографические средства защиты информации Правил работы с ними:

2.1.4.1. хранение криптографических средств в персональных шкафчиках пользователей, запирающихся на ключ, расположенных в кабинетах, доступ к которым ограничен соответствующим приказом ДОЗНКО;

2.1.4.2. исключение передачи криптографического средства третьим лицам;

2.1.4.3. запрет на оставление криптографического средства включенным/выключенным без присмотра;

2.1.4.4. запрет на вынос криптографического средства за пределы служебного помещения;

2.1.4.5. запрет на использование для электронной цифровой подписи открытых и закрытых ключей электронной цифровой подписи, если пользователю известно, что эти ключи используются или использовались ранее;

2.1.4.6. запрет на разглашение конфиденциальной информации, к которой пользователи допущены, средства ее защиты, в том числе сведения о криптографических средствах;

2.1.4.7. обязанность сообщать в орган криптографической защиты о ставших пользователям известными попытках третьих лиц получить сведения об используемых криптографических средствах;

2.1.4.8. обязанность немедленно уведомлять орган криптографической защиты о фактах утраты криптографического средства.

2.1.5. Соблюдение порядка доступа в ДОЗНКО, где расположены элементы информационных систем персональных данных:

2.1.5.1. все элементы информационных систем хранятся в индивидуальных ящиках каждого пользователя, запирающихся на ключ, расположенных в кабинетах;

2.1.5.2. соблюдение установленного соответствующим приказом ДОЗНКО ограничения в кабинеты, где используются элементы информационных систем.

2.1.6. Соблюдение порядка резервирования баз данных и хранения резервных копий:

2.1.6.1. наличие актуальных резервных копий;

2.1.6.2. поддержка рабочего состояния систем хранения резервных копий.

2.1.7. Знание пользователей информационных систем персональных данных алгоритма действий во внештатных ситуациях:

2.1.7.1. проведение анкетирования/опроса пользователя о порядке действий во внештатных ситуациях.

2.2. Тематика проверок обработки персональных данных без использования средств автоматизации.

2.2.1. Хранение бумажных носителей с персональными данными:

2.2.1.1. соблюдение хранения бумажных носителей, содержащих персональные данные, в закрываемых шкафах;

2.2.1.2. запрет передачи бумажных носителей, содержащих персональные данные, третьим лицам;

2.2.1.3. запрет выноса бумажных носителей, содержащих персональные данные, за пределы служебного помещения;

2.2.2. Доступ к бумажным носителям с персональными данными:

2.2.2.1. исключение возможности доступа к бумажным носителям, содержащим персональные данные, третьих лиц.

2.2.3. Доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными:

2.2.3.1. все бумажные носители хранятся в индивидуальных ящиках каждого пользователя, расположенных в кабинетах;

2.2.3.2. соблюдение установленного соответствующим приказом ДОЗНКО ограничения в кабинеты, где хранятся бумажные носители персональных данных.

3. Порядок проведения проверок условий обработки персональных данных

3.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям ДОЗНКО организует раза в три месяца. План проверки утверждается начальником ДОЗНКО (приложение N 1).

3.2. Проверки проводятся по необходимости в соответствии с поручением начальника ДОЗНКО.

3.3. Проверки осуществляются комиссией, образуемой приказом департамента.

3.4. Проверки осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра рабочих мест сотрудников, участвующих в процессе обработки персональных данных.

3.5. Результаты каждой проверки заносятся в протокол (приложение N 2). Протокол подписывается всеми членами комиссии.

3.6. При выявлении в ходе проверки нарушений в протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.

3.7. Протоколы хранятся у ответственного за организацию обработки персональных данных в ДОЗНКО.

3.8. Ответственный за организацию обработки персональных данных докладывает начальнику ДОЗНКО о результатах проверки и мерах, необходимых для устранения нарушений.

4. Права и обязанности комиссии при проведении проверки

4.1. При проведении проверки председатель комиссии:

4.1.1. осуществляет руководство членами комиссии, а также распределяет между ними обязанности;

4.1.2. устанавливает порядок работы комиссии при проведении проверки;

дает членам комиссии указания, обязательные для исполнения;

4.1.3. взаимодействует с должностными лицами ДОЗНКО;

4.1.4. обеспечивает сохранность и возврат полученных оригиналов документов;

4.1.5. обеспечивает соблюдение членами комиссии установленного режима работы и условий функционирования;

4.1.6. докладывает руководству ДОЗНКО о выявленных фактах грубого нарушения законодательства и иных нормативных правовых актов в сфере защиты персональных данных, а также иных обстоятельствах, требующих немедленного реагирования;

4.1.7. отстраняет от участия в работе комиссии ее членов, недобросовестно относящихся к исполнению возложенных на них обязанностей либо допускающих в процессе проверки нарушения служебной дисциплины, о чем немедленно информирует руководство ДОЗНКО;

4.1.8. отчитывается перед начальником ДОЗНКО о ходе и результатах проведения проверки, о работе членов комиссии, об итогах работы по устранению выявленных комиссией нарушений и недостатков;

4.1.9. несет персональную ответственность за качество организации, подготовки и проведения проверки, объективность и обоснованность ее результатов, выводов и предложений, за осуществление контроля по устранению выявленных комиссией нарушений и недостатков в ходе проверки.

4.2. В случае отсутствия председателя его функции и полномочия в полном объеме выполняет заместитель председателя комиссии.

4.3. В рамках проверки председатель (проверяющий), члены комиссии имеют право:

4.3.1. доступа в кабинеты, при предъявлении соответствующего приказа ДОЗНКО;

4.3.2. требовать и получать все необходимые для достижения целей проверки документы (письменные объяснения и иные материалы);

4.3.3. требовать и получать устные разъяснения по существу проверяемых вопросов;

4.3.4. наблюдать за осуществлением деятельности сотрудников ДОЗНКО, с использованием персональных данных;

Роскомнадзор проверяет всех, кто собирает персональные данные: юридических лиц, индивидуальных предпринимателей и простых людей. Инспектор должен проводить проверку по правилам. Если он их нарушит, результаты проверки можно оспорить. Рассказываем, как проходит проверка, как себя вести и как оспорить результаты.

К кому могут прийти с проверкой

Роскомнадзор проверяет людей, предпринимателей и компании, которые собирают, хранят, обрабатывают и передают чужие персональные данные.

Персональные данные — это любая информация, которая позволяет идентифицировать человека:

• фамилия, имя, отчество;
• дата и место рождения;
• адрес прописки, проживания;
• электронный адрес;
• номер телефона;
• национальность;
• политические и религиозные убеждения;
• биометрические данные: отпечатки пальцев, идентификация по голосу, результаты медицинских анализов, фотография.

Работодатели собирают персональные данные, когда оформляют сотрудников на работу. Авторы рассылок — когда человек подписывается на письма. Продавцы — когда просят покупателей оставить имя и номер телефона для того, чтобы отправлять предложения по скидкам.

Если вы собираете номера телефонов друзей, закон вас не касается. Но если у вас есть блог и вы собираете электронные адреса читателей для рассылки, вы становитесь оператором персональных данных.

Что проверяет Роскомнадзор

Бизнесмена могут проверить по плану, неожиданно или просто наблюдать за ним:

1. Плановые проверки проводят только удалённо — Роскомнадзор просит прислать ему нужные документы.
2. Внеплановые проверки всегда проводят на месте — ревизоры приезжают на работу или домой к оператору.
3. Наблюдение за оператором — сотрудники Роскомнадзора тайно наблюдают за бизнесменом со стороны.

Плановая проверка

Роскомнадзор проводит плановую проверку раз в три года, по графику. Ищите себя в сводном плане проверок на сайте Генпрокуратуры.

Некоторых Роскомнадзор проверяет чаще — раз в два года:

1. Если оператор собирает биометрические и специальные персональные данные: национальность, состояние здоровья, политические взгляды.
2. Если оператор отправляет персональные данные за рубеж.
3. Если оператор собирает персональные данные в государственных информационных системах — реестрах и инфосистемах министерств России. Например, Единая сеть обращения граждан или Реестр федерального имущества.

Что делать при плановой проверке

У оператора есть пять рабочих дней, чтобы ответить на запрос и прислать документы. Датой подачи документов считается день, когда инспектор их получил. Если оператор опоздает, Роскомнадзор придёт к нему с внеплановой проверкой.

2. Следите за сроками проверки. У инспектора есть 20 дней, чтобы провести проверку. Если их не хватит, он может продлить срок ещё на 20 дней, но только один раз. Максимальный срок проверки — 40 дней.

3. Проверьте акт проверки. Инспектор составляет акт в двух экземплярах. В акте он перечисляет нарушения или указывает, что их нет. Один экземпляр инспектор отправляет оператору по почте или электронным письмом не позднее 10 дней со дня подписания акта проверки.

Чем грозит плановая проверка

Если инспектор найдёт ошибки или неточности, он отправит оператору письмо — даст три рабочих дня на пояснения. Если оператор не ответит, Роскомнадзор придёт с внеплановой проверкой — в офис или домой к оператору.

Роскомнадзор может запретить собирать и обрабатывать персональные данные до того, как оператор исправится. Если он продолжит работать с персональными данными несмотря на запрет, его могут оштрафовать.

Внеплановая проверка

Роскомнадзор может прийти с внеплановой проверкой в любое время, но только если для этого есть основания:

Как себя вести во время внеплановой проверки

1. Проверьте документы ревизоров. Изучите удостоверения сотрудников, приказ и запрос с перечнем документов для проверки. В приказе должно быть указано, кто проводит проверку, по каким причинам, что будут делать сотрудники Роскомнадзора, сроки и условия выездной проверки. Сверьте фамилии и должности сотрудников Роскомнадзора из приказа с данными удостоверений.

2. Предоставьте информацию по запросу. Предоставьте инспекторам документы и покажите технику, перечисленную в запросе. Важно уложиться в срок, который указан в запросе — максимум два дня с момента вручения. Если во время проверки окажется, что нужны дополнительные документы, инспектор может вручить вам дополнение к запросу.

Если передаёте документы на бумаге, сделайте копии, заверьте печатью и подписью. Если отправляете их в электронном виде — подпишите электронной подписью. Если не успеваете в срок, напишите и отправьте в Роскомнадзор объяснительную.

3. Присутствуйте при проверке. Вы имеете право присутствовать при проверке, давать сотрудникам Роскомнадзора пояснения, отвечать на их вопросы.

4. Не мешайте проверяющим. В правилах сказано, что оператор должен свободно пускать ревизоров в помещение и к компьютеру, предоставлять необходимые документы. Если вы будете мешать, откажетесь показывать документы или отвечать на вопросы, сотрудники Роскомнадзора составят акт о воспрепятствовании проведению выездной проверки и через пару месяцев придут ещё раз. Если вы будете сильно мешать, могут вызвать полицию.

5. Следите за сроками. Инспектор предупреждает оператора о проверке не позднее, чем за 24 часа. Роскомнадзор может проводить внеплановую проверку не дольше 10 дней. Если нужно, срок могут увеличить еще на 10 дней, но только один раз. Максимальный срок проверки — 20 дней.

6. Проверьте правильность составления акта. В акте должна быть информация о выявленных нарушениях или об их отсутствии. Если нарушения есть, в акте должны быть указаны статьи закона и пункты нормативных актов, которые оператор нарушил.

Проверяющий составляет акт проверки в двух экземплярах и прилагает к нему справки, протоколы и пояснения оператора. Акт должны подписать представитель Роскомнадзора и оператор. Если вы откажетесь расписываться, ревизор сделает об этом пометку. Проверяющий отдаёт оператору под расписку один экземпляр акта с копиями приложений.

Оператор должен сделать пометку в журнале по учёту проверок о том, что ознакомился с актом. Если такого журнала нет, инспектор сделает об этом запись в акте.

Если оператора не будет на месте, Роскомнадзор приостановит проверку, но не более чем на месяц. Если за это время ничего не изменится и проверяющий не сможет застать оператора на месте, он составит акт о невозможности проведения проверки. В течение трёх месяцев после составления акта Роскомнадзор может прийти с проверкой ещё раз, но уже без предупреждения.

Чем грозит выездная проверка

Роскомнадзор может запретить собирать и обрабатывать персональные данные до того, как оператор исправится. Если он продолжит работать с персональными данными несмотря на запрет, его могут оштрафовать.

Наблюдение за оператором

Сотрудники Роскомнадзора могут наблюдать за оператором только по заданию. Для этого должны быть причины:

За оператором наблюдают тайно — никто его не предупреждает. Сотрудники Роскомнадзора смотрят, какую информацию оператор публикует в интернете и СМИ, какие документы отправляет в Роскомнадзор. Они могут просто посмотреть сайт и понажимать на кнопочки про согласие на обработку персональных данных.

Чем грозит наблюдение

Если сотрудники Роскомнадзора нашли нарушения, есть два варианта:

1. Роскомнадзор присылает оператору требование уточнить, заблокировать или удалить недостоверные или полученные незаконным путём сведения. Обычно на это дают 10 дней. Если оператор не исправит нарушения, его оштрафуют.
2. Роскомнадзор приезжает к оператору с внеплановой проверкой.

Когда проверку могут продлить

Роскомнадзор может продлить плановую проверку на 20 дней, внеплановую — на 10 дней. Увеличить срок проверки можно только один раз. Для этого должны быть причины:

1. Во время проверки Роскомнадзор получил от правоохранительных органов документы, из которых видно, что оператор нарушает закон.
2. На территории, где проходит проверка, произошло наводнение, затопление или пожар.
3. Во время проверки оказалось, что нужно проверить больше документов, у компании сложная структура, сложный механизм обработки персональных данных.

Если Роскомнадзор продлевает срок проверки, он издаёт приказ и в течение трех рабочих дней отдаёт копию оператору.

Как обжаловать результаты проверки

Любое нарушение правил сотрудником Роскомнадзора — повод подать жалобу. Вы можете пожаловаться на ревизоров, если:

1. Сотрудники Роскомнадзора не показали вам приказ о проведении проверки или свои удостоверения.
2. К вам приехали с выездной проверкой и попросили выйти из помещения.
3. К вам приехали с выездной проверкой и не слушают ваши объяснения.
4. Проверка проходит дольше, чем это прописано в правилах.
5. Вам не показали акт о результатах проверки.
6. Роскомнадзор запретил вам собирать и обрабатывать персональные данные, а вы считаете, что ничего не нарушали.

Если вы жалуетесь на сотрудников регионального Роскомнадзора — отправляйте жалобу в региональное управления Роскомнадзора. Если жалуетесь на проверяющих из федеральной службы — в федеральный Роскомнадзор.

Сотрудники Роскомнадзора обязаны ответить в течение 30 дней со дня регистрации жалобы. Они могут согласиться с претензией полностью, частично или вообще не согласиться.

Если вы подавали жалобу в региональный Роскомнадзор и он с ней не согласился, пишите в федеральную службу. Если и там не найдёте понимания — идите в суд.

Какие штрафы грозят нарушителям

Нарушение	Граждане	Индивидуальные предприниматели	Должностные лица	Юридические лица	Статья закона
Оператор незаконно собирает персональные данные или собирает те персональные данные, которые ему не нужны	1 000 ₽ – 3 000 ₽	1 000 ₽ – 3 000 ₽	5 000 ₽ – 10 000 ₽	30 000 ₽ – 50 000 ₽	п 1. ст. 13.11 КоАП РФ
Оператор обрабатывает персональные данные без письменного согласия или неправильно его составил	3 000 ₽ – 5 000 ₽	3 000 ₽ – 5 000 ₽	10 000 ₽ – 20 000 ₽	15 000 ₽ – 75 000 ₽	п. 2 ст. 13.11 КоАП РФ
Оператор не опубликовал документ, где сказано, как он обрабатывает и защищает персональные данные	700 ₽ – 1 500 ₽	5 000 ₽ – 10 000 ₽	3 000 ₽ – 6 000 ₽	15 000 ₽ – 30 000 ₽	п. 3 ст. 13.11 КоАП РФ
Оператор не дал человеку информацию об обработке его данных	1 000 ₽ – 2 000 ₽	10 000 ₽ – 15 000 ₽	4 000 ₽ – 6 000 ₽	20 000 ₽ – 40 000 ₽	п. 4 ст. 13.11 КоАП РФ
Оператор не стал исправлять, блокировать или удалять неверные, устаревшие или незаконно полученные персональные данные, несмотря на требование их владельца или сотрудника Роскомнадзора	1 000 ₽ – 2 000 ₽	10 000 ₽ – 20 000 ₽	4 000 ₽ – 10 000 ₽	25 000 ₽ – 45 000 ₽	п. 5 ст. 13.11 КоАП РФ
Оператор обрабатывает персональные данные вручную, неправильно их хранит и не защищает компьютер, флешки, диски с персональными данными. В результате кто-то их уничтожил, изменил, скопировал, распространил	700 ₽ – 2 000 ₽	10 000 ₽ – 20 000 ₽	4 000 ₽ – 10 000 ₽	25 000 ₽ – 50 000 ₽	п. 6 ст. 13.11 КоАП РФ
Оператор вовремя не подал нужные документы или информацию в Роскомнадзор	Предупреждение или штраф 100 ₽ – 300 ₽	Предупреждение или штраф 100 ₽ – 300 ₽	Предупреждение или штраф 300 ₽ – 500 ₽	Предупреждение или штраф 3 000 ₽ – 5 000 ₽	ст. 19.7 КоАП РФ

Коротко о проверках по защите персональных данных

Роскомнадзор может прийти с проверкой к любому оператору персональных данных: в компанию, к индивидуальному предпринимателю или обычному человеку. Оператора могут проверить по плану, неожиданно или просто наблюдать за ним:

Любое нарушение проверяющими правил проведения проверок — повод обжаловать её результаты. Если Роскомнадзор не согласится с жалобой, можно подать в суд.

Читайте также:

  
• Отказ от номера мегафон заявление
  
• Документ подтверждающий полномочия законного представителя ребенка что это
  
• Образец оформления краткого протокола по требованиям росархива
  
• Заявление об отказе в участии в торгах
  
• Обязана ли компания продублировать электронный договор на бумаге