Что проверяет роскомнадзор при плановой проверке

Деятельность по  оказанию услуг в области связи и телекоммуникаций является одной из тех, где государство придерживается политики активного контроля и надзора. Во- первых указанная деятельность в соответствии  с Федеральным законом от 04.05.2011 N 99-ФЗ  "О лицензировании отдельных видов деятельности", Федеральным законом от 7 июля 2003 г. N 126-ФЗ "О связи" является лицензируемой.

Получение необходимых лицензий является первым этапом для легального осуществления деятельности по оказанию услуг связи юридическим и физическим лицам.

После получения соответствующей лицензии оператору связи необходимо подготовить проект объекта связи и произвести государственную экспертизу указанного проекта в ФГБУ «МИР ИТ» в соответствии со статьей 49 Градостроительного кодекса РФ и Положением "О порядке организации и проведения государственной экспертизы проектной документации и результатов инженерных изысканий", утвержденным Постановлением Правительства РФ от 05.03.2007 N 145.

Для некоторых сооружений связи не требуется проектная документация, перечень таких объектов связи установлен в Приложении А "Правил ввода в эксплуатацию сооружений связи", утвержденных Приказом Минсвязи РФ от 09.09.2002 N 113. Например, без разработки проектной документации, подлежащей государственной экспертизе, возможно ввести в эксплуатацию распределительные системы приема телевидения и КТВ до 2500 абонентов, сооружения связи всех видов телематических служб, АТС емкостью до 512 номеров на городских телефонных сетях с линейными и межстанционными сооружениями. Вместо нее могут быть представлены такие документы как типовые проекты, заводская документация оборудования или иные технические документы.

После разработки проектной документации и получения положительного заключения экспертизы оператор связи приступает к строительству сооружения связи в соответствии с проектной документации. Срок строительства объекта связи ограничен  датой начала оказания услуг согласно выданной лицензии связи, т.е. 2 годами. Для соблюдения требований законодательства оператору необходимо направить уведомление в территориальный орган Роскомнадзора о начале строительства объекта связи. Построенное сооружение связи необходимо ввести в эксплуатацию, для этого оператор уведомляет территориальное управление Роскомнадзора (по местонахождению сооружения связи) о завершении строительства объекта связи.

В течение 10 дней, после получения уведомления, территориальный орган Роскомнадзора принимает решение о целесообразности проведения выездной приемочной комиссии, и в случае положительного решения согласовывает с оператором точную дату.

В случае, если принято решение о вводе в эксплуатацию без выезда приемочной комиссии, оператор в течение указанного срока, предоставляет в территориальный орган Роскомнадзора необходимый для ввода сооружения связи пакет документов, предусмотренный нормативно-правовыми актами Минкомсвязи РФ.

После проверки приложенной документации, оператор получает Акт КС-14 с приложением, свидетельствующие о разрешении ввода объекта связи в эксплуатацию. 

В случае принятия территориальным органом Роскомнадзора решения о приме сооружения связи с выездом приемочной комиссии, в назначенный день на объект прибывает выездная комиссия. Специалисты Роскомнадзора проводят измерения, сверяют фактические данные  с данными в заявленной документации, изучению подвергаются, также, схема построения и присоединения сети электросвязи.

Ввод в эксплуатацию сооружения связи также оформляется Актом КС-14.

После получения разрешения на ввод в эксплуатацию, оператор связи может полностью легально оказывать услуги связи.

Плановые проверки Роскомнадзора.

По истечении двух лет оператору связи предстоит пройти плановую проверку соблюдения оператором лицензионных условий.

О времени проведения можно узнать из плана проверок, публикуемого на сайте Роскомнадзора или в более удобной форме с поиском — у нас на сайте. Кроме того, о проведении плановой проверки соблюдения лицензионных требований оператор связи письменно уведомляется Роскомнадзором.

Согласно ч. 4 ст.

Персональные данные. Как успешно пройти проверку Роскомнадзора?

27 Федерального закона "О связи" от 7 июля 2003 г. N 126-ФЗ плановая проверка проводится не чаще одного раза  в два года.

Помимо этого, Роскомнадзор или его территориальные органы имеют право провести внеплановую проверку. Основанием для проведения внеплановой проверки в соответствии с ч. 5 ст. 27 Федерального закона "О связи" от 7 июля 2003 г. N 126-ФЗ является:

  1. истечение срока исполнения выданного органом государственного надзора предписания об устранении выявленного нарушения обязательных требований;
  2. поступление в орган государственного надзора обращений и заявлений граждан, в том числе индивидуальных предпринимателей, юридических лиц, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о фактах нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи Российской Федерации по перечню таких нарушений, установленному Правительством Российской Федерации;
  3. выявление органом государственного надзора в результате систематического наблюдения, радиоконтроля нарушений обязательных требований;
  4. наличие приказа (распоряжения) руководителя (заместителя руководителя) органа государственного надзора о проведении внеплановой проверки, изданного в соответствии с поручением Президента Российской Федерации или Правительства Российской Федерации либо на основании требования прокурора о проведении внеплановой проверки в рамках надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.

Кроме того, в соответствии с п. 8 ч. 2 ст. 10 Федерального закона от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля", общим для всех органов государственной власти основанием проведения внеплановой проверки является нарушение прав потребителей (в случае обращения граждан, права которых нарушены).

Порядок осуществления государственного надзора за деятельностью в области связи регламентируется Постановлением Правительства от 02.03.2005 г. № 110.

Непосредственной целью надзора является проверка соблюдения лицензионных условий по выданным оператору лицензиям связи, и выявление лиц осуществляющих  деятельность  по возмездному оказанию услуг связи без соответствующих разрешений.  В последнем случае, действия оператора попадают под Статью 171, УК РФ «Незаконное предпринимательство».

В случае выявления нарушения лицензионных условий  оператор связи несет ответственность в соответствии с ч. 3 ст. 14.1 КоАП РФ за осуществление предпринимательской деятельности с нарушением условий, предусмотренных специальным разрешением (лицензией), указанные действия влекут ответственность в виде предупреждения (при отсутствии отягчающих обстоятельств, таких как повторное совершение однородного правонарушения в течение одного года) либо  наложение административного штрафа на юридических лиц — от тридцати тысяч до сорока тысяч рублей.

Кроме того, при проведении проверок, как плановых так и внеплановых,  выявляются нарушения иные нарушения законодательства в сфере связи, такие как самовольное подключение к сети электрической связи оконечного оборудования, самовольные проектирование, строительство, изготовление, приобретение, установка или эксплуатация радиоэлектронных средств и (или) высокочастотных устройств, нарушение правил проектирования, строительства, установки, регистрации или эксплуатации радиоэлектронных средств и (или) высокочастотных устройств, нарушение правил охраны линий или сооружений связи, использование несертифицированных средств связи либо предоставление несертифицированных услуг связи, несоблюдение установленных правил и норм, регулирующих порядок проектирования, строительства и эксплуатации сетей и сооружений связи, самовольные строительство или эксплуатация сооружений связи, которые влекут административную ответственность в соответствии с главой 13 КоАП РФ.

Необходимо знать, что контрольные мероприятия на объекте связи могут быть проведены не ранее чем через год после сдачи объекта в эксплуатацию. Но при этом, время проведения может быть скорректировано, с учетом даты начала действия лицензий оператора. Так, проверка на объекте может быть проведена в течении 3 месяцев  с начала действия лицензии при условии, что объект связи не был сдан в эксплуатацию.   

По итогам, плановой или внеплановой проверки комиссия, в случае выявления нарушений законодательств в сфере связи, выдается  предписание об устранении выявленных правонарушений и составляет протокол об административном правонарушении, который  либо передается на рассмотрение в Арбитражный суд либо рассматривается Роскомнадзором самостоятельно в зависимости от того, какое правонарушение выявлено.

Срок выполнения предписания об устранении правонарушения обычно составляет 30 дней.

В случае если оператор не исполнит предписание в установленный срок, Роскомнадзор имеет право инициировать  процедуру приостановления лицензии и последующего аннулирования, а также составляет протокол об административном правонарушении в соответствии со ст. 19.5 КоАП РФ, которой предусмотрено наложение административного штрафа в размере от десяти тысяч до двадцати тысяч рублей.

В качестве документа о прохождении проверки, как плановой, так и внеплановой, как документарной, так и выездной, оператор получает акт проверки (в двух экземплярах). При этом заключение по результатам  по каждой лицензии, выдается отдельно. 

Вы можете проверить ожидает ли вашу организацию плановая проверка на официальном сайте Роскомнадзора или в нашем реестре составленном на основе открытых данных. 

Если вам предстоит плановая проверка мы можем вам помочь с ее прохождением, свяжитесь с нами прямо сейчас: 

Напишите нам, мы в онлайне!

Лушников Н.Д., Хасаншин А.И.

Персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Защита персональных данных граждан Российской Федерации-задача весьма насущная. В случае если персональные данные используются произвольно и становятся доступными лицам, которым они не должны быть известны, гражданам наносится моральный вред и материальный ущерб.

В настоящее время, характеризуемое бурным развитием информационных технологий, на первый план встает вопрос защиты персональных данных при их накоплении, обработке и передаче с использованием средств информатизации. Для регулирования информационных правоотношений в области персональных данных законодателем установлен целый ряд нормативно-правовых актов. Исходя из вышеизложенного, можно сделать вывод, что анализ правового регулирования персональных данных в системе информации довольно актуален, поэтому данная работа направлена на исследование персональных данных, на изучение информационных систем для защиты персональных данных, классификации типовых информационных систем персональных данных, двух основных методов защиты.

Для исследования и изучения данной темы использовались интернет ресурсы и библиографические единицы, связанные с защитой персональных данных и их информационными системами.

Наряду с закрепленными за работодателем обязанностями по обеспечению защиты персональных данных работника ст. 88 ТК РФ регламентирует права работников в этой области.

Условно права работника, направленные на обеспечение за­щиты его персональных данных, можно разделить на 3 группы:

1) на полную информацию о своих персональных данных и их обработке;

2) требовать устранения недостатков, имеющихся в персо­нальных данных работника;

3) на защиту от неправомерных действий (бездействия) рабо­тодателя всеми установленными законом способами.

Право на полную информацию о своих персональных данных и их обработке установлено также в Федеральном законе от 20 февраля 1995 г. «Об информации, информатизации и защите информации». Так, в соответствии с п. 1 ст.

Что проверяет Роскомнадзор во время плановых проверок

14 указанного Зако­на работники имеют право на доступ к документированной ин­формации о них, имеют право знать, кто, в каких целях исполь­зует или использовал эту информацию. В силу п. 2 ст. 14 Закона работодатель, как владелец документированной информации о ра­ботнике, обязан предоставить по его требованию бесплатно ин­формацию в той части, которая касается непосредственно самого работника.

Право отдельной категории работников на полную информа­цию, составляющую их персональные данные, устанавливается также федеральными законами, указами Президента РФ, поста­новлениями Правительства РФ. Так, в соответствии с п. 9 Указа Президента РФ от 15 мая 1997 г. «О предоставлении лицами, за­мещающими государственные должности Российской Федерации, и лицами, замещающими государственные должности государст­венной службы и должности в органах местного самоуправления, сведений о доходах и имуществе» право знакомиться со всеми материалами своего личного дела и давать в письменном виде объяснение по указанным материалам, которое должно быть при­общено к личному делу, принадлежит лицам, замещающим госу­дарственные должности РФ.

Федеральный закон «О персональных данных» (№152-ФЗ), подписанный Президентом РФ в июле 2006 г., вступил в силу в январе 2007 г., однако основные нормативные документы, детализирующие его применение, и орган, контролирующий выполнение закона, появились только в 2007-8 гг. Кроме того, в 2008 г. в Федеральной службе по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор) было создано Управление по защите прав субъектов персональных данных в Российской Федерации. В его состав включено три отдела: отдел организации ведения реестра операторов, осуществляющих обработку персональных данных (ПД), отдел организации контроля и надзора за соответствием обработки ПД и отдел анализа и методологического обеспечения в области ПД. Дополнительно организованы специальные отделы в 78 территориальных органах Россвязькомнадзора.

Ранее принятые законы «Об информации, информационных технологиях и защите информации» (№149-ФЗ от 27 июля 2006 г.), «О коммерческой тайне» (№98-ФЗ от 29 июля 2004 г.), а также Постановление Правительства РФ «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (№781 от 17 ноября 2007 г.) и совместный Приказ ФСТЭК, ФСБ и Мининформсвязи «Об утверждении порядка проведения классификации информационных систем персональных данных» (№55/86/20 от 13.02.2008) образуют нормативную базу для построения систем защиты ПД.

Информационная система персональных данных (ИСПД) – это совокупность программных и технических средств на которых обрабатываются персональные данные.. В зависимости от последствий нарушений заданной характеристики безопасности ПД, типовой ИС присваивается один из классов:

  • класс 1 — ИС, для которых нарушения могут привести к значительным негативным последствиям для субъектов ПД;

  • класс 2 — ИС, для которых нарушения могут привести к негативным последствиям для субъектов ПД;

  • класс 3 — ИС, для которых нарушения могут привести к незначительным негативным последствиям для субъектов ПД;

  • класс 4 — ИС, для которых нарушения не приводят к негативным последствиям для субъектов ПД.

Для ИСПДн класса 1 и 2 обязательна сертификация (аттестация), для 3 класса – декларирование соответствия, для 4 класса оценка проводится по решению оператора ПД. Порядок определения актуальных угроз безопасности ПД в ИСПДн предусматривает следующие этапы:

  • оценка (на основе опроса и анализа) уровня исходной защищенности ИСПДн (высокий, средний, низкий);

  • экспертная оценка частоты (вероятности) реализации угрозы (маловероятная, низкая, средняя, высокая);

  • определение актуальных угроз (путем исключения неактуальных угроз по определенному алгоритму).

Инструментальный анализ защищенности ИСПДн включает анализ средств защиты информации: шлюзов VPN, антивирусных средств защиты, средств обнаружения атак IDP/IPS, межсетевых экранов и систем защиты от утечки конфиденциальной информации. Дополнительно проводится анализ безопасности сетевой инфраструктуры: коммутаторов, маршрутизаторов, сетей SAN и WLAN. Тест на проникновение позволяет получить независимую оценку безопасности ИСПДн по отношению к внешнему нарушителю.

Как правило, с технической точки зрения методы защиты можно разделить на две группы. К первой относится шифрование данных, когда конфиденциальная информация хранится в защищенной области, а доступ к ней жестко контролируется самими пользователями. Практика показывает, что в большинстве случаев этот метод себя оправдывает. Однако утечки данных могут происходить по вполне «легальным» каналам – например, при участии пользователей, имеющих права доступа к такой информации. В связи с этим получил распространение второй метод защиты – решения для предотвращения потери данных (Data Loss Prevention, DLP), которые позволяют осуществлять контроль за каналами передачи данных и информировать службу безопасности или блокировать передачу в случае обнаружения нарушений политики безопасности. Естественно, наиболее эффективно сочетание обоих методов.

Государство создало необходимые условия для выполнения требований по безопасности персональных данных. Оно определило понятия персональных данных и операторов, которые эти данные обрабатывают. Согласно Законодательству операторами персональных данных являются практически все организации, которые ведут свою деятельность на территории РФ, поскольку они как минимум осуществляют сбор, систематизацию и хранение сведений о своих сотрудниках, клиентах и партнерах. Государство возложило на операторов персональных данных определенные обязанности. Важнейшим из них является обеспечение безопасности персональных данных. Это означает, что оператор персональных данных обязан принять все необходимые меры для обеспечения конфиденциальности (а в некоторых случаях доступности и целостности) сведений о субъектах персональных данных. Уполномоченные государством органы разработали требования по созданию системы защиты персональных данных и конкретизировали их в нормативно методических документах. Практика показала, что реализовать данные требования самостоятельно организациям достаточно сложно. На помощь им приходят специализированные компании, работающие на рынке информационной безопасности.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

  1. Трудовой кодекс Российской Федерации : ФЗ от 30.12. 2001 г. № 197.– М. : ОТиСС, 2002. – 142 с.

  2. Городов О.А. Информационное право. – М.: Проспект, 2009 г.

  3. Бачило И.Л. Информационное право. – М.: Высшее образование, 2009 г.

  4. Лютов Н.Л. Защита персональных данных: международные стандарты и внутреннее российское законодательство – М.: «Трудовое право», № 8, 2010 г.

  5. Шалыгина Л.С. Нормативно-правовое регулирование работы с информационными системами и персональными данными. — М.: «Медицинское право», № 2, 2010 г.

  6. Е.В. Бурцева, И.П. Рак, А.В. Селезнев, А.В. Терехов, В.Н. Чернышов. Информационные системы. – Тамбов: ТГТУ, 2009.

7. http://www.osp.ru/lan/2008/12/5808691/

 

5

 

Все о проверках защиты персональных данных: кто, кого и как?

Документы, необходимые для получения услуги

  • Уведомление об обработке (о намерении осуществлять обработку) персональных данных

Срок предоставления

Предоставление государственной услуги осуществляется без непосредственного взаимодействия с заявителем.Внесение сведений об Операторе в реестр осуществляется в течение 15 дней с даты поступления уведомления по результатам проверки сведений, содержащихся в Уведомлении. Датой внесения сведений об Операторе в Реестр считается дата подписания приказа. Заявление о предоставлении государственной услуги регистрируется в срок, не позднее дня, следующего за днем его поступления в Роскомнадзор (территориальный орган Роскомнадзора).Информация о внесении сведений об Операторе в Реестр размещается на официальном сайте Роскомнадзора в срок, не позднее 3 дней с даты подписания приказа.Основанием для рассмотрения вопроса о внесении сведений об Операторе в Реестр является направление Оператором Уведомления непосредственно в Роскомнадзор (территориальный орган Роскомнадзора) или поступление Уведомления в ЕИС с Единого портала с присвоением ему входящего номера. Уведомление должно содержать следующие сведения:1. Наименование (фамилия, имя, отчество), адрес Оператора.2. Цель обработки персональных данных.3. Категории персональных данных.4. Категории субъектов, персональные данные которых обрабатываются.5. Правовое основание обработки персональных данных. 6. Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных.7. Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.8. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.9.

Проверка Роскомнадзора на 2018 год – что проверяют, как подготовиться, виды проверок

Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.10. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.11. Дату начала обработки персональных данных. Срок или условие прекращения обработки персональных данных. При поступлении Уведомления на бумажном носителе, сотрудник Роскомнадзора (территориального органа Роскомнадзора), ответственный за делопроизводство, проводит регистрацию Уведомления и направляет его заместителю руководителя Роскомнадзора (руководителю территориального органа Роскомнадзора) для определения ответственного исполнителя или принятия решения об отказе о внесении сведений об Операторе в Реестр, в случае предоставления неполных или недостоверных сведений. Сотрудник Роскомнадзора (территориального органа Роскомнадзора) ответственный за работу в области персональных данных, вносит Уведомление в подсистему «Персональные данные» ЕИС в срок не позднее дня, следующего за днем его регистрации. Сотрудник Роскомнадзора (территориального органа Роскомнадзора), ответственный за работу в области персональных данных, не позднее 5 дней с момента присвоения Уведомлению регистрационного номера рассматривает его и при соответствии требованиям части 3 статьи 22 Федерального закона переводит Уведомление в статус «На включение в приказ» для включения в проект приказа о внесении сведений об Операторе в Реестр. В случае предоставления Оператором неполных или недостоверных сведений, предусмотренных с частью 3 статьи 22 Федерального закона, сотрудник Роскомнадзора (территориального органа Роскомнадзора) направляет Оператору письмо с уведомлением о его вручении, содержащее запрос с указанием перечня недостающих сведений для внесения в Реестр. После подписания письма и присвоения ему регистрационного номера файл со сканированным письмом вносится в ЕИС в срок не позднее дня, следующего за днем его регистрации. Оператор обязан сообщить в территориальный орган Роскомнадзора по его запросу уточненные сведения, необходимые для осуществления деятельности указанного органа, в течение 30 дней с даты получения такого запроса. После получения от Оператора уточненных сведений, соответствующих требованиям части 3 статьи 22 Федерального закона, сотрудник Роскомнадзора (территориального органа Роскомнадзора), ответственный за работу в области персональных данных, вносит уточненные сведения в ЕИС и переводит Уведомление в статус «На включение в приказ» для включения в проект приказа о внесении сведений об Операторе в Реестр. Если в течение 30 дней с даты получения запроса Оператор не представил уточненные сведения, то по истечении указанного срока Уведомление с неполными или недостоверными сведениями возвращается Оператору без внесения сведений о нем в Реестр. При поступлении Уведомления от Оператора с Единого портала в ЕИС, сотрудник Роскомнадзора (территориального органа Роскомнадзора), ответственный за работу в области персональных данных, проверяет Уведомление в подсистеме «Персональные данные» ЕИС на соответствие предоставленных сведений требованиям Федерального закона. Уведомлению, соответствующему требованиям Федерал

Основание

Сведения об Операторе вносятся в Реестр при выполнении следующих условий: •направление в Роскомнадзор (территориальный орган Роскомнадзора) Уведомления об обработке (о намерении осуществлять обработку) персональных данных; •регистрация полученного Уведомления в Роскомнадзоре (территориальном органе Роскомнадзора), принятие решения о внесении сведений об Операторе в Реестр или отказе во внесении сведений об Операторе в Реестр; •подписание приказа руководителем Роскомнадзора (руководителем территориального органа Роскомнадзора) о внесении сведений об Операторе в Реестр.

Cрок регистрации запроса на услугу

1 раб. дн.

Отказ в предоставлении государственной услуги

Основания для отказа в приеме документов, необходимых для предоставления государственной услуги, отсутствуют.Основанием для приостановления предоставления государственной услуги является представление Оператором неполных или недостоверных сведений, предусмотренных частью 3 статьи 22 Федерального закона.

Информационная безопасность. Все о проверках защиты персональных данных

О федеральном законе № 152 «О персональных данных»

По российскому законодательству компании и организации, которые занимаются хранением, сбором и обработкой персональных данных, называются операторами персональных данных (ОПд). Именно на них ложится ответственность по защите персональных данных физических лиц. Основные документы, в которых содержится персональная информация: паспорт (включая отдельно ФИО), свидетельство о присвоении ИНН, страховое пенсионное свидетельство, военный билет, водительское удостоверение, медицинская справка, документ об образовании.

С 1 июля 2017 года вступили в силу поправки к КоАП РФ, которые предусматривают усиление ответственности за нарушение соответствующего законодательства и внедрение новой системы штрафов. О том, насколько деятельность компании соответствует №152-ФЗ «О персональных данных», следят в Роскомнадзоре, Государственной инспекции труда, ФСТЭК и ФСБ. Поговорим о каждом из этих органов подробнее.

Проверки Роскомнадзора: виды и особенности

Роскомнадзор в контексте закона №152 работает в двух направлениях:

  • защищает права субъектов персональных данных;
  • контролирует работу ОПд и следит за выполнением ими действующего законодательства.

Как Роскомнадзор знает, что на том или ином предприятии происходят нарушения? Во-первых, он рассматривает жалобы и обращения частных граждан. Во-вторых, ведет Реестр ОПд. И в-третьих, проводит контрольные и надзорные мероприятия в одной из следующих форм:

  • плановая. Об этой проверке Роскомнадзор предупреждает за 3 дня в письменном виде (через почтовое уведомление). Также компания может самостоятельно заранее узнать о том, что она включена в список проверяемых. Здесь можно ознакомиться с планом проверок;
  • внеплановая. Чаще всего производится на основе жалоб граждан, на основе приказа руководителя Роскомнадзора или при наличии нарушений, которые не были устранены компанией в оговоренный срок. О такой проверке Роскомнадзор уведомляет за 24 часа;
  • документальная. В этом случае Роскомнадзор запрашивает несколько документов, которые необходимо выслать почтой;
  • выездная. Выполняется инспекторами Роскомнадзора непосредственно на проверяемом объекте.

Плановая и внеплановая проверки могут быть документальными или выездными (на выбор Роскомнадзора).

В последнее время популярен формат систематического наблюдения за компанией – он эффективный и не требует серьезных трудозатрат. Именно в ходе таких проверок часто обнаруживается, что на сайте компании отсутствует документ, который определяет политику обработки персональных данных пользователей.

Важно понимать, что в Роскомнадзоре не проверяют наличие и состояние технических средств защиты персональных данных.

Проверка Роскомнадзора: что надо знать?

Для этого исполнительного органа важно лишь то, как выполняются организационные задачи и соответствует ли результат №152-ФЗ «О персональных данных».

Штраф за найденное нарушение: до 75 000 рублей.

Проверки Государственной инспекции труда

Этот орган проверяет, как деятельность компании соответствует главе 14 о «Защите персональных данных» Трудового Кодекса РФ. В Государственной инспекции труда выясняют следующее:

  • действительно ли работники ознакомлены с порядком обработки их персональных данных;
  • есть ли документ, подтверждающий этот факт (с обязательной подписью работника).

Штраф за найденное нарушение: до 50 000 рублей.

Проверки ФСТЭК и ФСБ

Возвращаемся к техническим мерам по обеспечению защиты персональных данных. Именно их проверяют в ФСБ и ФСТЭК. Так, первый орган занимается вопросами криптографической защиты, второй – всеми остальными. На практике получается, что оба они могут контролировать обработку только тех персональных данных, которые занесены в государственную информационную систему. Вот что проверяют ФСБ и ФСТЭК:

  • наличие самих средств защиты и порядок их эксплуатации;
  • физическую защиту объектов хранения и обработки персональных данных;
  • лицензии и сертификаты на криптографические средства защиты;
  • результаты аттестационных проверок;
  • факты проведения организационных мероприятий (акты, допуски и т. п.).

Штраф за найденное нарушение: до 25 000 рублей.

Что делать, чтобы успешно пройти проверку

Ознакомьтесь с общими рекомендациями по тому, как действовать в рамках закона «О персональных данных». Следуйте им, и проверки контролирующих органов не обернутся для вашей компании неприятностями с законом и штрафами.

  • Определите перечень персональных данных, подлежащих защите в вашей компании. Утвердите политику компании в отношении их защиты. Составьте и зарегистрируйте документ, в котором будет описан порядок работы с персональными данными, ознакомьте с его содержанием всех причастных (под подпись).
  • Назначьте двух ответственных лиц: за организацию обработки персональных данных и администратора безопасности. Первый сотрудник будет заниматься документальным сопровождением, второй – техническими вопросами. Разработайте соответствующие инструкции.
  • Выделите место для хранения персональных данных в бумажном варианте (шкаф, сейф, стеллаж), утвердите это место в приказе или распоряжении.
  • Заведите журнал для учета мероприятий, направленных на защиту персональных данных.
  • Утвердите порядок обслуживания и восстановления работоспособности технических средств, направленных на защиту персональных данных.
  • Подайте в Роскомнадзор уведомление об обработке персональных данных в электронном и печатном виде.

Наши специалисты готовы ответить на любые другие вопросы, которые возникнут в процессе обработки, хранения и использования персональных данных. Обращайтесь в компанию IT-Relax за разъяснениями и для проведения мероприятий, направленных на техническое обеспечение защиты персональных данных.

Читайте также: