База знаний

Проверка Роскомнадзора — как подготовиться и избежать штрафов

09 декабря’24 9 минут
682
Что такое «Моё дело»?
Cервис онлайн-бухгалтерии для предпринимателей.
Узнать подробнее
Содержание
Устали заниматься бухгалтерией?
Попробовать Моё дело
Передайте бухгалтерию специалистам
Обсудим вашу ситуацию с бухгалтерией
Подберем решение под ваш бизнес
Начнём работу уже сегодня

Укажите вашу форму собственности *

Сколько у вас сотрудников? *

Нажимая на кнопку, я даю Согласие на обработку и Согласие на распространение персональных данных

* Поля обязательны для заполнения

Связаться в WhatsApp
Спасибо за обращение!
Мы получили вашу заявку.
В ближайшее время наш менеджер свяжется с вами.
Техническая поддержка
support@moedelo.org
E-mail для связи
info@moedelo.org
6 способов снизить налоги в 2025 году
получите бесплатный pdf-гайд
Введите почту и телефон для получения гайда
Гайд будет отправлен вам на указанную почту. Благодарим за доверие!
E-mail
Телефон
Нажимая на кнопку, я даю Согласие на обработку и Согласие на распространение персональных данных
Почему вам интересна тема бухгалтерии и налогов?
Всего один вопрос поможет нам делать контент более подходящим для вас.
Я — бухгалтер и веду учёт
Я — предприниматель, у меня бизнес
Я — студент, изучаю теорию
Я здесь случайно
Выберите один из предложенных вариантов
Подтвердить
Спасибо, что приняли участие в опросе!
Мы рады, что предприниматели интересуются нашими статьями. У нас есть предложения, которые помогут вам работать эффективнее.
Аутсорсинг бухгалтерии
ведём учёт правильно — за вас
Подробнее
Онлайн бухгалтерия
ведите учёт сами — без ошибок
Подробнее
Спасибо, что приняли участие в опросе!
Закрыть

Из-за регулярных утечек персональных данных (ПДн) Роскомнадзор тщательно проверяет организации на соблюдение правил. Даже за малейшие нарушения выписывают крупные штрафы. Рассказываем, какие правила соблюдать и как подготовиться к проверке.

Что важно запомнить?

  1. Роскомнадзор проверяет операторов персональных данных — организации и предпринимателей, которые получают и хранят личную информацию физических лиц.
  2. РКН проводится плановые, внеплановые, документарные и выездные проверки. Ещё есть инспекционный визит — «сжатая» разновидность выездного мероприятия.
  3. Порядок проверки операторов персональных данных регламентирован постановлением Правительства РФ № 1046 от 29.06.2021.
  4. В ходе контрольного мероприятия инспекторы РКН проверяют всё, что связано с обработкой и хранением персональных данных: уведомление и соответствие заявленных целей фактическим, формы документов, локальные акты, помещения и пр.
  5. После проверки составляют итоговый акт, в котором отражают ход проверки и выявленные нарушения. Организации и предприниматели могут обжаловать решение, добиться полной или частичной отмены штрафов.
  6. При составлении планов и принятии решений о внеплановых контрольных мероприятиях Роскомнадзор ориентируется на риск-ориентированный подход. Под контроль в первую очередь попадают предприятия, нарушения со стороны которых приведут к более негативным последствиям.

Кого проверяют?

Роскомнадзор проверяет операторов персональных данных — организации и предпринимателей, которые получают и хранят личную информацию физических лиц.

Под персональными данными понимают сведения, позволяющие идентифицировать человека: ФИО, дату и место рождения, адрес регистрации, номер телефона, биометрию и другие (федеральный закон № 152-ФЗ от 27.07.2006).

Например, если соискатель указывает в анкете личную информацию (в бумажной или электронной), предприятие становится оператором персональных данных и попадает в поле зрения РКН.

Это касается и обычных сайтов (форумов, блогов), где пользователи оставляют электронную почту для получения рассылок.

Оператор ПДн до начала обработки информации должен уведомить Роскомнадзор о своём намерении начать обрабатывать персональные данные. Однако это не нужно делать в некоторых ситуациях, к примеру, обработка производится без использования средств автоматизации (п. 2 ст. 22 федерального закона № 152-ФЗ от 27.07.2006).

Виды проверок Роскомнадзора

Роскомнадзор пользуется несколькими видами контрольных мероприятий. Некоторые проводятся очно в офисе оператора, другие — удалённо, ограничиваются запросом документации.

Плановая

Ежегодно РКН составляет план контрольных мероприятий. Организации и ИП попадают в него раз в три года, некоторые чаще — о периодичности расскажем далее.

План публикуют на сайте Роскомнадзора. Есть поиск по ИНН, поэтому можете в начале года посмотреть, будут ли вас проверять. Если да, начните готовиться к контрольному мероприятию.

О плановой проверке сообщают за три дня до запланированной даты. Уведомление отправляют почтой — по месту прописки ИП или по адресу регистрации ООО.

Внеплановая

О внеплановой проверке неизвестно заранее. Как правило, мероприятие включают в график, если на оператора пожаловались, распоряжение подписал вышестоящий орган или есть подозрения в продолжении нарушений, выявленных в ходе прошлого контрольного мероприятия.

Например, внеплановую проверку могут назначить, если клиент пожалуется на спам-рассылки. О мероприятии уведомят за 24 часа до назначенной даты. Времени на подготовку будет очень мало.

Документарная

РКН запрашивает копии документов, которые позволяют оценить соблюдение правил работы с ПДн (ст. 72 федерального закона № 248-ФЗ от 31.07.2020). Специалисты ведомства не приезжают в организацию.

Выездная

Специалисты Роскомнадзора приезжают на предприятие, чтобы лично проверить документы и соблюдение правил работы с персональными данными (ст. 73 федерального закона № 248-ФЗ от 31.07.2020). Мероприятие может затянуться на несколько рабочих дней.

Инспекционный визит

Инспекционный визит — разновидность выездного мероприятия (ст. 70 федерального закона № 248-ФЗ от 31.07.2020). В отличие от выездной проверки, длится не дольше одного рабочего дня. Ориентирован на определенный аспект работы с ПДн, который не удалось проверить по документам. Об инспекционном визите сообщают за пять рабочих дней до начала.

Как проходит проверка Роскомнадзора?

Порядок проверки операторов персональных данных регламентирован постановлением Правительства РФ № 1046 от 29.06.2021.

Чёткой поэтапной последовательности контрольных мероприятий нет. Например, при выездной проверке или инспекционном визите процесс представляет собой уведомление предприятия, приезд проверяющих, просмотр документации и составление заключения. Аналогично при документарной, но без посещения организации или ИП.

РКН концентрируется на правовом обосновании сбора и обработки персональных данных. Какую информацию и для чего собирает организация, совпадают ли фактические действия с заявленными целями и т. п.

В ходе проверки специалисты Роскомнадзора имеют право фиксировать различные аспекты, используя видео- или аудиозапись.

Проверяющая сторона имеет право участвовать в мероприятии. Более того, это даже рекомендуется. Назначьте ответственного специалиста, который поможет проверяющим провести контрольное мероприятие. Он сможет оперативно отвечать на вопросы и давать пояснения, чтобы избежать недопониманий.

Что проверяют?

В первую очередь Роскомнадзор проверяет наличие уведомления о сборе и обработке персональных данных. Его подают практически все операторы. Есть информация, которую можно собирать и обрабатывать без уведомления — ст. 22 федерального закона № 152-ФЗ от 27.07.2006.

На основании уведомления РКН проверит, соответствуют ли заявленные цели фактическим. Какие данные собираются и для чего, кто отвечает за работу с ПДн и т. п.

Что ещё проверяют инспекторы:

  • Сайт компании. Есть ли на нём формы сбора персональных данных, размещена ли политика организации по обработке ПДн.
  • Формы документов, в которых содержится личная информация клиентов и сотрудников, согласие на обработку персональных данных и т. п.
  • Какие специфические категории информации собирает предприятие. Например, этническую принадлежность, религиозные взгляды и др. Обоснование, с какой целью собираются эти данные.
  • Договоры с подрядчиками, которым предприятие передаёт ПДн. Требования к соглашению установлены ст. 6 Федерального закона № 152-ФЗ от 27.07.2006.
  • Помещения, в которых хранятся и обрабатываются персональные данные. Доступ к ним должен быть только у сотрудников, которые отвечают за работу с ПДн. Также проверят раздельность хранения информации: например, персональные данные клиентов отдельно от сведений о сотрудниках.
  • Прочие локальные акты, которые связаны с обработкой и хранением персональных данных.

За прохождение проверки должен отвечать сотрудник, специализирующийся на персональных данных. Если в организации нет отдельного специалиста, рекомендуется привлечь профессионала из сторонней фирмы.

Результаты проверки и их обжалование

После проверки инспекторы составляют итоговый акт. Это объёмный документ, в котором указывают ход контрольного мероприятия, что было проверено и какие нарушения выявлены. На основании акта определяют дальнейшие действия и штрафы, если найдены нарушения.

Организации и предприниматели могут обжаловать решение Роскомнадзора. Жалобу составляют в бумажном или электронном виде, подают в отделение, которое проводило мероприятие. Если не получают должного результата, идут в региональное отделение, а затем — в центральное.

После рассмотрения жалобы РКН может полностью отменить выводы, частично или вовсе отказаться что-то менять в итоговом акте. В последнем случае, если не помогает обжалование в центральном отделении, остаётся идти в суд.

В жалобе необходимо указать на нарушения со стороны инспекторов, обосновать несогласие со сделанными выводами. Лучше, чтобы его составил квалифицированный специалист — так больше шансов отменить или хотя бы снизить штрафы.

Как подготовиться к проверке Роскомнадзора?

Чтобы быть готовым к проверке, нужно выделить обработку персональных данных в отдельный процесс. Подготовить документацию, назначить ответственных и позаботиться о безопасности.

Что должно быть в организации:

  • Сотрудник, ответственный за выполнение законодательства в области персональных данных.
  • Специалист, который отвечает за обработку ПДн. Это может быть тот же человек, который отвечает за выполнение правил в целом.
  • Регламентированный процесс сбора и обработки персональных данных, перечень категорий собираемой информации.
  • Формы документов для сбора и обработки категорий информации, с которыми работает предприятие.
  • Письменное подтверждение, что всех сотрудников ознакомили с формами документов для обработки персональных данных.
  • Политика компании по обработке ПДн.
  • Подтверждение, что предприятие подало уведомление в Роскомнадзор об обработке персональных данных.

Нормативная база по работе с ПДн разрознена, зафиксирована в разных кодексах и ФЗ. Неопытному человеку сложно ориентироваться в обилии данных. Поэтому следует нанимать специалистов с релевантным опытом работы. Или передавать эти задачи на аутсорсинг в специализированные организации. Они выполнят комплекс работ, который позволит выполнять все правила.

После получения уведомления о проверке в первую очередь проверьте уведомление, которое подавали в Роскомнадзор. Содержание документа и цели должны соответствовать тому, что сейчас происходит с ПДн в организации. В частности, должно быть то же ответственное лицо, которое занимается соблюдением законодательства.

Если проводится документарная проверка, изучите требования и подготовьте документы по списку. Передайте РКН копии и дождитесь результатов проверки. Ведомство направит акт с результатами или попросит разъяснить спорные моменты.

Перед выездной проверкой подготовьте пакет документов, который инспекторы проверяют в первую очередь. Если соблюдаете законодательство, то они все должны быть в наличии:

рис.1 рис.1

Выездная проверка может затянуться на несколько дней, поэтому подготовьте для инспекторов отдельный кабинет с компьютером, принтером и сканером. Это может быть любой кабинет или переговорная, главное — чтобы в ней было всё необходимое для работы с документами.

Напомните ответственному сотруднику, чтобы вёл учёт передаваемых документов. В самих документах перед приездом инспекторов наведите порядок. Поводом для штрафа может стать даже то, что чьё-то согласие на обработку персональных данных лежит на столе одного из сотрудников в открытом доступе.

Как часто Роскомнадзор проверяет компании?

При составлении планов и принятии решений о внеплановых контрольных мероприятий Роскомнадзор ориентируется на риск-ориентированный подход. Под контроль в первую очередь попадают предприятия, нарушения со стороны которых приведут к более негативным последствиям.

Для этого используется система классификаций — по тяжести потенциальных нарушений и нарушений, допущенных в прошлом.

Выделяют четыре группы тяжести:

рис.2 рис.2

Дополнительно операторов персональных данных делят на группы вероятности по нарушениям обработки и хранения ПДн, допущенных в прошлом:

рис.3 рис.3

На основании этого определяют, к какой категории риска относится организация или предприниматель:

рис.4 рис.4

Периодичность и тип проверок определяют в соответствии с группой риска:

рис.5 рис.5

Как избежать внеплановых проверок?

Внеплановая проверка — самая неприятная, потому что уведомление о ней поступает за сутки до начала. У организации или ИП мало времени, чтобы подготовиться, проверить документы. Поэтому высока вероятность получить штрафы.

Чтобы снизить вероятность:

  • Подайте уведомление в Роскомнадзор, что начали собирать, обрабатывать и хранить ПДн.
  • На сайт добавьте политику обработки персональных данных, добавьте галочку на согласие с ней, уведомляйте и собирайте соглашения на обработку cookies.
  • Не засыпайте клиентов и пользователей смс-рассылками, не названивайте для продажи услуг. Часто жалобы на спам становятся причиной внеплановой проверки.

Регулярно (например, раз в год) заказывайте аудит обработки и хранения персональных данных. Сторонние специалисты будут проверять процессы, указывать на недочёты и ошибки. Выполнение рекомендаций уменьшит вероятность внеплановых проверок и получения штрафов после плановых контрольных мероприятий.

Частые нарушения, выявляемые Роскомнадзором

Ознакомьтесь с частыми нарушениями, которые выявляет Роскомнадзор. Проверьте свои внутренние процессы: если бы сейчас пришли с проверкой, выполнили бы вы требование. Если нет, исправьте ошибки.

За что штрафуют чаще всего:

  • Организация не подавала в РКН уведомление об обработке персональных данных. Также проверяйте, чтобы сведения были актуальными. Если сменился сотрудник, ответственный за выполнение законодательства по обработке ПДн, подайте в ведомство новое уведомление.
  • Нет всех необходимых документов. Ориентируйтесь на перечень, который рассматривали в подразделе «Как подготовиться к проверке Роскомнадзора».
  • Нет письменного подтверждения, что сотрудников ознакомили с законами и локальными актами по обработке персональных данных.
  • Нет подписанных согласий на обработку ПДн. Или использованная форма не соответствует требованиям из приказа Роскомнадзора № 18 от 24.02.2021.
  • Организация хранит лишние документы. Например, копии паспорта и СНИЛС сотрудников, с которыми уже заключили трудовые договоры.

Ответственность за нарушения

Ответственность за нарушения правил обработки персональных данных установлена ст. 13.11 КоАП РФ. Размер штрафа зависит от организационно-правовой формы и характера нарушения.

1. Фирма незаконно собирает ПДн или собирает информацию, которая не требуется (п. 1 ст. 13.11 КоАП РФ):

  • ИП — 10-20 тыс. руб.
  • должностные лица — 10-20 тыс. руб.
  • организации — 60-100 тыс. руб.

2. Предприятие собирает персональные данные без письменного согласия или в форме согласия не учтены обязательные требования (п. 2 ст. 13.11 КоАП РФ):

  • ИП — 100-300 тыс. руб.
  • должностные лица — 100-300 тыс. руб.
  • организации — 300-700 тыс. руб.

3. У компании или ИП нет политики обработки персональных данных (п. 3 ст. 13.11 КоАП РФ):

  • ИП — 10-20 тыс. руб.
  • должностные лица — 6-12 тыс. руб.
  • организации — 30-60 тыс. руб.

За повторные нарушения ответственность увеличится в 1,5-2 раза. Чтобы не тратить деньги на штрафы, дешевле заказать аудит обработки и хранения персональных данных, чтобы привести все документы и процессы в порядок.

picture
Время — деньги. Не отвлекайтесь на самостоятельное ведение бухучёта.
Позвольте профессионалам «Моё Дело» освободить вас от рутинных задач с бухгалтерией и налогами. Посвятите своё время тому, что действительно важно.
Подробнее

Другие публикации по теме

Популярные статьи

Подпишитесь на новостную рассылку

Заполните поля формы, чтобы получать новости законодательства, советы по снижению налогов и кейсы.

Нажимая на кнопку, я даю Согласие на обработку и Согласие на распространение персональных данных

Спасибо! Подтвердите подписку на почте.

Всё на сайте - для Вас, cookies — для нас. Мы собираем cookies, чтобы сделать сайт еще удобнее. Продолжая пользоваться сайтом, Вы соглашаетесь на сбор и использование нами cookies. Ограничить или запретить сбор cookies можно в настройках Вашего браузера.
хорошо