ЭЛКОД: В каких случаях Роскомнадзор может начать проверку персональных данных в организации?

В каких случаях Роскомнадзор может начать проверку персональных данных в организации? Какой минимально необходимый набор документов должен быть собран у оператора персональных данных, чтобы у проверяющих органов не было претензий?

  •  19 февраля 2024 г.

Плановые проверки операторов персональных данных проводят на основании ежегодных планов, размещенных на сайте Роскомнадзора. Основанием для включения компании в план проверок является истечение трех лет со дня регистрации юридического лица либо со дня окончания предыдущей плановой проверки.

Плановая проверка проводится не чаще одного раза в два года, если оператор персональных данных:

- обрабатывает персональные данные в государственных информационных системах;

- собирает и обрабатывает биометрические и специальные категории персональных данных;

- осуществляет трансграничную передачу персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных;

- осуществляет обработку персональных данных по поручению иностранного госоргана, юридического или физического лица, которые не зарегистрированы на территории РФ.

Для защиты персональных данных работников создайте комплект следующих основных документов:

  1. приказ о назначении лица, ответственного за организацию обработки персональных данных работников (п. 1 ч. 1 ст. 18.1 Закона о персональных данных).
  2. положение о защите персональных данных работников или иной локальный нормативный акт, регулирующий порядок хранения, использования, обработки таких данных. Учтите требования и ограничения к содержанию такого документа. В нем не должно быть положений, ограничивающих права работников, а также возлагающих на вас полномочия и обязанности, не предусмотренные законом (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных);
  3. политика в отношении обработки персональных данных. Этот документ также не должен содержать указанных ограничений и возлагать не предусмотренные законом полномочия и обязанности (п. 2 ч. 1 ст. 18.1 Закона о персональных данных);
  4. приказ об утверждении перечня лиц, имеющих доступ к персональным данным работников. Такой приказ следует издать во исполнение требований абз. 6 ст. 88 ТК РФ.

Рекомендуем у всех этих лиц взять письменное обязательство о неразглашении.

Обоснование

Уполномоченные должностные лица Роскомнадзора (его территориального органа) посредством единого реестра контрольных (надзорных) мероприятий утверждают в машиночитаемом формате ежегодный план до 15 декабря года, предшествующего году реализации ежегодного плана. Он размещается в течение пяти рабочих дней со дня его утверждения на официальном сайте органа, за исключением сведений, содержащихся в ежегодном плане, распространение которых ограничено или запрещено. Сведения о сайте соответствующего территориального органа Роскомнадзора вы можете найти на официальном сайте ведомства.

Если вы не нашли себя или своей организации в ежегодном плане мероприятий органа, то с большой долей вероятности в отношении вас планового мероприятия в текущем году (то есть в году, на который утвержден план) не будет. Учтите, что в определенных случаях в ежегодный план вносятся изменения. Например, в связи с реорганизацией организации. Сведения о внесенных в ежегодный план изменениях в течение двух рабочих дней со дня их внесения размещаются на официальном сайте контрольного (надзорного) органа.

{Готовое решение: Как узнать о контрольном (надзорном) мероприятии Роскомнадзора в сфере персональных данных (КонсультантПлюс, 2024) {КонсультантПлюс}}

Плановые проверки операторов персональных данных проводят на основании ежегодных планов, размещенных на сайте Роскомнадзора. Основанием для включения компании в план проверок является истечение трех лет со дня регистрации юридического лица (индивидуального предпринимателя) либо со дня окончания предыдущей плановой проверки.

Плановая проверка проводится не чаще одного раза в два года, если оператор персональных данных:

- обрабатывает персональные данные в государственных информационных системах;

- собирает и обрабатывает биометрические и специальные категории персональных данных;

- осуществляет трансграничную передачу персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных;

- осуществляет обработку персональных данных по поручению иностранного госоргана, юридического или физического лица, которые не зарегистрированы на территории РФ.

Внеплановые проверки проводятся в следующих случаях:

- при неисполнении или частичном исполнении оператором предписания об устранении выявленного нарушения;

- по результатам обращения физлиц в случае нарушения их прав;

- в соответствии с поручением президента;

- по требованию прокурора;

- на основании решения руководителя Роскомнадзора по итогам рассмотрения докладной записки о нарушениях, выявленных по результатам проведения мероприятий по контролю без взаимодействия с оператором.

Порядок проведения проверок

Роскомнадзор должен уведомить о проведении плановой проверки за три рабочих дня. Также проверяющие должны направить копию приказа по почте заказным письмом или в виде электронного документа по электронной почте оператора, если она указана на сайте оператора или если он предоставлял ее ранее. Также указано, что Роскомнадзор вправе уведомить о проверке другим доступным способом. О проведении внеплановой проверки проверяющие должны сообщать за 24 часа любым доступным способом.

Статья: Опубликовано Постановление о том, как будут проверять операторов персональных данных (Шестакова М.) ("ЭЖ-Юрист", 2019, N 7) {КонсультантПлюс}

Работодатели являются операторами персональных данных и обязаны уведомлять Роскомнадзор о начале обработки персональных данных работников. Сформировать и направить уведомление можно на сайте Роскомнадзора (ст. 22 Закона N 152-ФЗ).

Для работы с персональными данными работников утвердите положение о защите персональных данных и политику обработки персональных данных.

При приеме на работу оформите согласие работника на обработку персональных данных. Можно сделать отдельный документ или включить условие о согласии в трудовой договор.

Для использования биометрических персональных данных, например фотографии для пропуска, укажите их в перечне данных, на обработку которых работник дает согласие (ст. 11 Закона N 152-ФЗ, Письмо Минцифры от 17.07.2020 N ОП-П24-070-19433).

{Типовая ситуация: Персональные данные работников: понятие, обработка, защита и передача (Издательство "Главная книга", 2024) {КонсультантПлюс}}

Для защиты персональных данных работников создайте комплект следующих основных документов:

1. приказ о назначении лица, ответственного за организацию обработки персональных данных работников (п. 1 ч. 1 ст. 18.1 Закона о персональных данных).

Ответственного за обработку персональных данных назначьте приказом. Им может быть любой работник вашей организации, например специалист отдела по управлению персоналом. Главное, чтобы он смог выполнять обязанности, перечисленные в ч. 4 ст. 22.1 Закона о персональных данных.

Например, он должен доводить до сведения работников положения законодательства о персональных данных, а также ваших локальных актов об обработке персональных данных (п. 2 ч. 4 ст. 22.1 Закона о персональных данных).

Если вы поручили обработку персональных данных другому лицу по договору с ним, учтите требования, перечисленные в ч. 3 ст. 6 Закона о персональных данных;

 

 

КонсультантПлюс: примечание.

Для учреждений:

Проверьте, возможно для вашего учреждения разработаны специальные документы о порядке обработки персональных данных или установлены требования к их составлению (ч. 2 ст. 4 Закона о персональных данных). Например, учреждениям, подведомственным Роспотребнадзору, нужно руководствоваться специальным Положением об обработке и защите персональных данных в Роспотребнадзоре.

 

2. положение о защите персональных данных работников или иной локальный нормативный акт, регулирующий порядок хранения, использования, обработки таких данных. Учтите требования и ограничения к содержанию такого документа. В нем не должно быть положений, ограничивающих права работников, а также возлагающих на вас полномочия и обязанности, не предусмотренные законом (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных);

3. Образец положения об обработке и защите персональных данных работников (иных лиц);

4. политика в отношении обработки персональных данных. Этот документ также не должен содержать указанных ограничений и возлагать не предусмотренные законом полномочия и обязанности (п. 2 ч. 1 ст. 18.1 Закона о персональных данных);

5. Образец политики оператора в отношении обработки персональных данных;

6. приказ об утверждении перечня лиц, имеющих доступ к персональным данным работников. Такой приказ следует издать во исполнение требований абз. 6 ст. 88 ТК РФ.

Рекомендуем у всех этих лиц взять письменное обязательство о неразглашении.

Готовое решение: Какие меры по защите персональных данных работников должны приниматься при обработке этих данных (КонсультантПлюс, 2024) {КонсультантПлюс}
 

 

 

 

Еще по этой теме

29 апреля 2025 г.

Ответственность за нарушение законодательства о персональных данных. Риски операторов и должностных лиц

17 июня 2025 г.

Готовимся к проверкам Роскомнадзора: возможные риски ответственности

21 мая 2025 г.

Готовимся к проверкам Роскомнадзора. Базовые понятия закона «О персональных данных» и основные обязанности оператора

КонсультантПлюс

СБИС

Образование

Новости

Мероприятия

Записи мероприятий

Подборки

Справочная информация

Библиотека

Гид по разделу «Образование»