Если у вас есть наемный персонал, вы рассылаете рекламу или коммерческие предложения, просите у клиентов номер телефона, то вы обязаны выполнять закон «О персональных данных» от 27.07.2006 № 152-ФЗ (в ред. от 14.07.2022).
Что относится к персональным данным
Вот перечень:
фамилия, имя, отчество гражданина;
дата и место рождения;
адрес прописки, проживания;
электронный адрес;
номер телефона;
национальность;
политические и религиозные убеждения;
биометрические данные: отпечатки пальцев, идентификация по голосу, результаты медицинских анализов, фотография.
Виды проверок Роскомнадзора
Проверки могут быть плановые и внеплановые. Ревизоры могут их проводить в выездной или документарной форме.
Плановые проверки проводят с учетом риск-ориентированного подхода. То есть компанию или ИП относят к определенной категории риска. Критерии риска приведены в постановлении Правительства от 29.06.2021 № 1046.
Если предприятие отнесли к высокой категории риска, то раз в 2 года его ждет выездное мероприятие.
Плановая выездная проверка может быть заменена инспекционным визитом. Он проходит непосредственно на территории работодателя и длится один рабочий день. Сообщать об инспекционном визите ведомство не будет.
Кроме того, Роскомнадзор может удаленно вести наблюдение за работодателем или нанести ему профилактический визит.
Посмотрите бесплатный пробный урок онлайн-курса «Защита персональных данных: новые правила 2023» и оцените, насколько вы готовы к приезду Роскомнадзора.
Наблюдение
Наблюдать со стороны за деятельностью оператора персональных данных сотрудники Роскомнадзора могут только при наличии на то существенных причин:
по поручению Правительства или по приказу руководителя;
при проверке поступившей жалобы;
появление в СМИ информации о нарушении или утечке персональных данных.
О том, что за деятельностью предприятия ведется наблюдение, никто вам не сообщит. Вы не заметите, что сотрудники Роскомнадзора заходили на ваш сайт и социальные сети, проверяли работу форм по сбору персональных данных.
Неудовлетворительный результат приводит к внеплановой проверке или в 10-дневный срок потребуют исправить выявленные нарушения с обязательным применением штрафных санкций.
О правомерности такого мероприятия, как наблюдение, свидетельствует письмо Роскомнадзора от 31.01.2023 № 09-6488.
По таким нарушениям, как обработка данных без письменного согласия, а также обработка, несовместимая с целями сбора данных, могут наказать и без выезда. Протокол составит сотрудник Роскомнадзора, который обнаружил нарушение.
Внеплановые проверки: причины возникновения и последствия
Внеплановая проверка может случиться в любой момент, если:
не были исправлены нарушения, выявленные прошлой проверкой;
поступила жалоба от объекта персональных данных;
согласовано с прокуратурой или появился прямой приказ от президента или правительства;
во время наблюдения или профилактического визита были обнаружены грубые нарушения.
О проведении внеплановой проверки вас уведомят за 24 часа. С этого момента нужно не только в спешке готовить недостающие документы, но и следить за соблюдением регламента проверки. Это даст вам шанс оспорить результаты.
Длительность внеплановых мероприятий не должна превышать 10 дней. При необходимости Роскомнадзор может увеличить срок, но максимум ещё на 10 дней.
Если вы решите уклониться от проведения проверки, то она не будет отменена. Вы получите ещё одну отсрочку, но не более месяца. За дальнейшие прогулы внеплановый выезд состоится без предупреждения.
При обнаружении нарушений неминуемо последуют штрафы, а что ещё хуже — это запрет на сбор и обработку персональных данных. Для некоторых видов деятельности это равносильно закрытию бизнеса.
Несмотря на мораторий, согласно постановлению от 04.02.2023 № 161 Правительство расширило список оснований для внеплановых проверок по персональным данным.
Так, например, по решению главы или замглавы Роскомнадзора в компанию, в том числе аккредитованную IT-организацию, могут прийти с внеплановой проверкой, если выявят факт распространения в интернете баз с персданными.
Даже за такое незначительное нарушение, как неверно оформленное письменное согласие на обработку персональных данных, юридическому лицу грозит штраф до 150 000 рублей (ст. 13.11 КоАП).
Что проверяют
Под проверку попадают:
документы, которые содержат персональные данные физических лиц;
условиях их хранения;
вычислительную технику и программы, через которые обрабатываются персданные;
локальные нормативные документы, которые регулируют обработку персданных, порядок их исполнения, сайт предприятия.
Все необходимые шаблоны документов и примеры их заполнения мы включили в онлайн-курс «Защита персональных данных: новые правила 2023».Наведите порядок в документообороте и хранении персональных данных, не дожидаясь приезда проверяющих. Курс можно оплатить в рассрочку.
Оформить курс в рассрочку
Начать дискуссию