Правительство РФ впервые утвердило правила, по которым Роскомнадзор (ранее этим занималась прокуратура) будет проверять, как организации работают с персональными данными. Правила во многом типовые, но свои особенности, несомненно, имеют.

Основные элементы следующие.

Объект проверки

Проверке подвергнутся  юрлица и ИП, являющиеся операторами персданных. Таким образом, проинспектируют  работодателей, поскольку они являются операторами персданных.

Виды проверок

Ревизии могут проходить в виде:

1) плановых проверок:

  • выездных;
  • документарных;

2) внеплановых проверок:

  • выездных;

3) мероприятий без взаимодействия инспекторов с операторами.

Плановые проверки

Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.

Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.

В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.

Документарные проверки

Проводятся путем анализа документов и информации, полученных от фирмы по письменному запросу.

Компания должна предоставить документы и информацию в течение 5 рабочих дней со дня получения запроса. Документы направляются в виде копий, заверенных печатью (при наличии) и подписью руководителя или уполномоченного им лица.

Если проверяющие запросят пояснения к документам, их нужно подать в течение 3 рабочих дней.

Внеплановые проверки

Проводятся на основании:

  • обращений граждан;
  • по требованию прокурора;
  • в случае неисполнения оператором предписания.

Уведомление компании

Роскомнадзор должен уведомить фирму:

  • о проведении плановой проверки – не позднее чем за 3 рабочих дня:
  • о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.

Способ уведомления – направление копии приказа о проведении проверки (либо-либо):

  • заказным письмом с уведомлением о вручении;
  • электронным документом с усиленной квалифицированной электронной подписью — на электронную почту.

Что будут проверять

Инспекторы ревизуют:

  • документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 Закона о персданных;
  • обработку персданных на предмет ее соответствия установленным требованиям;
  • информационные системы персданных.

Мероприятия без взаимодействия с компанией

Такие мероприятия проводятся на основании заданий на их проведение, утверждаемых руководителем органа Роскомнадзора.

К данным мероприятиям относится контроль за соблюдением компанией требований при размещении информации в сети Интернет и СМИ, а также в федеральных государственных информационных системах.

ПОСТАНОВЛЕНИЕ Правительства РФ от 13.02.2019 № 146
«Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»

Документ включен в СПС «КонсультантПлюс»

Роскомнадзор проверит, как работодатели обращаются с персданными

Добавить комментарий

Ваш адрес email не будет опубликован.