ЗАКОН «О ПЕРСОНАЛЬНЫХ ДАННЫХ». ПРОВЕРКИ. КТО ПРОВЕРЯЕТ, КТО ПРОВЕРЯЕТ И КАК. ЧАСТЬ 1
Для начала нужно понять, что такое персональные данные и почему эта тема волнует многие компании.
В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных» персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональные данные).
В любой компании осуществляется сбор и обработка персональных данных в отношении кандидатов на вакантную должность, клиентов. Кроме того, с 1 июля текущего года вступили в силу поправки в закон, скорректировавшие ответственность за нарушения требований законодательства. Поэтому нужно знать, какие организации контролируют деятельность в этой сфере, кого и как проверяют.
Итак, кто проверяет:
- Роскомнадзор
- Государственная инспекция труда
- ФСТЭК и ФСС.
Основным надзорным органом в этой сфере является Роскомнадзор.
- проверка сведений, указанных организацией в Уведомлении;
- Имеет возможность ограничить доступ к данным, которые обрабатываются с нарушением законодательства;
- имеет право обращаться в суд с исками о защите прав субъектов персональных данных и представлять их интересы в суде;
- Имеет право привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона;
- Обязан рассматривать жалобы и обращения по вопросам, связанным с обработкой персональных данных, и принимать по ним решения в пределах своих полномочий.
- Может потребовать от оператора уничтожить персональные данные, полученные незаконным путем
На сегодняшний день Роскомнадзор осуществляет следующие мероприятия для реализации своих полномочий:
- обработка обращений граждан;
- Осуществление контрольно-надзорной деятельности;
- Ведение реестра операторов персональных данных.
Роскомнадзор рассматривает жалобы в соответствии с законом от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации». Любой гражданин может направить жалобу в письменной форме или через электронную форму на сайте Роскомнадзора или портале Госуслуг. Все обращения должны быть рассмотрены в течение 30 дней. Правительство рассматривает новый проект Административного регламента. В настоящее время Роскомнадзор проводит проверки на основании Административного регламента, утвержденного приказом Минкомсвязи № 312 от 14.11.2011.
Роскомнадзор проводит плановые и внеплановые проверки, а также документальные и выездные проверки.
Плановые проверки проводятся на основании годового плана. Предметом проверок Роскомнадзора являются: деятельность по обработке персональных данных; документы, характер информации в которых предполагает или позволяет включение персональных данных; информационные системы персональных данных.
То есть Роскомнадзор не проверяет наличие и состояние технической защиты информационных систем персональных данных. Его основная задача — проверка правового основания обработки персональных данных. Положения, инструкции, приказы и другие документы не являются основным объектом проверок.
Уполномоченный орган заинтересован в самих персональных данных и соответствии объема этих данных целям обработки.
Как правило, в уведомлении о плановой проверке прописывается, что проверяемое лицо должно предоставить полный перечень необходимых документов. Проверка может касаться всех: юридических лиц, подавших уведомление об обработке персональных данных в реестр операторов, а также тех, кто этого не сделал. Как плановые, так и внеплановые проверки занимают не более 20 дней.
Внеплановые проверки Роскомнадзором могут быть документальные и выездные проверки. В ходе документальной проверки Роскомнадзор делает запрос необходимых документов и указывает срок их предоставления.
Такие проверки проводятся в случае истечения срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения. Чаще всего после плановой проверки Роскомнадзор проводит внеплановую проверку. Это делается с целью контроля устранения выявленного нарушения. Такая проверка редко бывает выездной. Обычно это осуществляется путем истребования необходимых документов, свидетельствующих об устранении нарушения; если в службу или ее территориальные органы поступили обращения граждан, юридических лиц, индивидуальных предпринимателей, информация от органов государственной власти, органов местного самоуправления, из средств массовой информации.
Проверки Государственной инспекции труда
ТК РФ содержит главу 14: «Защита персональных данных работника». При проведении проверок обращают внимание на требование пункта 8 статьи 86: «Работники и их представители под роспись знакомятся с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также их права и обязанности в это поле.
То есть проверяют наличие такого документа и ознакомление с ним всех сотрудников.
Новый порядок трансграничной передачи персональных данных
С 1 сентября 2022 года вступил в силу Закон, ужесточивший порядок трансграничной обработки персональных данных и их передачи за границу.
Внесенные в закон изменения предусматривают:
- новый порядок трансграничной обработки и передачи персональных данных (ПД) за границу;
- ограничение перечня случаев, позволяющих компаниям – операторам ПДн не направлять уведомление об обработке таких данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно «Роскомнадзор»). ) власти;
- обязанность операторов ПДн уведомлять органы Роскомнадзора о фактах незаконной или случайной передачи ПДн, повлекших нарушение прав субъектов ПДн.
Новый порядок трансграничной передачи ПДн
Компании, являющиеся операторами персональных данных, обязаны уведомить органы Роскомнадзора о намерении осуществлять трансграничную передачу ПДн.
В документе должны быть указаны следующие сведения:
- наименование оператора ПДн;
- Ф.И.О. ответственного за организацию обработки ПДн и его контактные данные;
- правовая основа и цель трансграничной передачи ПДн; категория
- и перечень передаваемых ПДн;
- перечень иностранных государств, куда такие данные необходимо передавать;
- дата проведения оператором оценки соблюдения органами государственной власти иностранных государств, иностранными юридическими и физическими лицами режима конфиденциальности персональных данных.
Органы Роскомнадзора вправе запросить у оператора ПДн информацию для оценки достоверности сведений, указанных в уведомлении, а именно:
- меры, принимаемые государственными органами иностранных государств, их физическими и юридическими лицами по охране переданные ПДн и условия прекращения обработки;
- сведения о правовом регулировании в сфере ПДн иностранного государства, под юрисдикцией которого находятся получатели данных;
- сведения о государственных органах иностранного государства, иностранных юридических и физических лицах (наименование/ФИО, контактные данные).
Срок передачи уведомления до 1 марта 2023 года, если оператор ранее осуществлял перекрестную передачу ПДн и продолжает это делать. Срок рассмотрения уведомлений Роскомнадзором составляет 10 рабочих дней.
Обращаем ваше внимание, что указанный порядок уведомления является дополнительным и не освобождает оператора ПДн от направления уведомления о начале обработки персональных данных в порядке, предусмотренном статьей 22 Закона № 152-ФЗ.
Новые случаи, позволяющие оператору не направлять уведомление об обработке ПДн
Действующим Законом предусмотрены новые случаи, согласно которым оператор вправе не направлять уведомление об обработке ПДн органы Роскомнадзора. Такими случаями являются:
- персональные данные включены в государственные информационные системы персональных данных, создаваемые в целях обеспечения безопасности государства и общественного порядка;
- оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения стабильного и безопасного функционирования транспортной системы, защиты интересов личности, общества и государства в сфере транспортной системы от актов незаконного вмешательства.
