Проверка Роскомнадзора в 2023 году: как оценить правовые риски компании
В 2023 году ужесточили законодательство о персональных данных. Роскомнадзор обновил форму уведомления о намерении обрабатывать персональные данные, установил новые требования к их уничтожению и правилам по трансграничной передаче персональных данных. Правовые риски каждой компании в связи с этими изменениями выросли в разы. В статье разберем, какие нарушения компании могут стать объектом проверки Роскомнадзора, и как внутренний аудит документов поможет избежать штрафных санкций.
|
Скачайте образцы документов для работы: |
|
|
Перечень основных документов и действий для внутреннего аудита персданных |
Правовые риски компании при обработке персональных данных: что изменилось
В этом году требований к обработке персональных данных стало еще больше, а значит, компании должны применять более строгие меры безопасности, чтобы избежать внеплановой проверки Роскомнадзора и ответственности за правонарушения. Ниже расскажем о самых распространенных ошибках, которые допускают компании при работе с персональными данными:
1. Не обновляют локальные нормативные акты о персональных данных в связи с изменениями в законодательстве, или такие акты вовсе отсутствуют.
2. Не подают актуальное уведомление в Роскомнадзор о намерении обрабатывать персональные данные (приказ от 28.10.2022 № 180).
3. Не направляют уведомление о трансграничной передаче данных в Роскомнадзор (п. 7 ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ).
4. Не запрашивают сведения по обеспечению безопасности персональных данных у стороны, которая имеет доступ к личным данным работников.
5. Используют не конкретные, а общие формулировки в согласии на обработку персональных данных.
6. Публикуют персональные данные работников на сайте компании, в социальных сетях без получения согласия на распространение персональных данных.
7. Не применяют меры по защите персональных данных сотрудников, к которые хранят в электронном виде. Не проводят внутренние аудиты (контроль) и обучение лиц, которые имеют доступ к персональным данным,
8. Не проводят оценку угрозы безопасности.
Основные факторы, которые повлияли на повышение правовых рисков каждой компании за последние несколько месяцев:
1) С 1 сентября 2022 года внесли значительные изменения в Закон «О персональных данных». Теперь организациям необходимо пересмотреть свои процессы обновить локальные нормативные акты и согласия по защите персональных данных. Убедиться, что все работники ознакомлены с ними под подпись.
2) С 1 марта 2023 года ввели новый порядок трансграничной передачи персональных данных, уничтожения данных, оценки угроз безопасности и т.д. Теперь Роскомнадзор будет рассматривать уведомления, и решать, разрешить, ограничить или запретить трансграничную передачу персональных данных.
3) Появится реестр учета инцидентов в области персональных данных. Теперь на основании уведомлений о произошедшем инциденте, Роскомнадзор будет вносить запись в специальный реестр.
4) В этом году Роскомнадзор будет все чаще привлекать к ответственности за нарушения при обработке персональных данных. Чтобы выявить такие нарушения не всегда потребуется проводить выездные проверки (письмо Роскомнадзора от 31.01.2023 № 09-6488).
|
Новый порядок оценки степени вреда при работе с персданными С 1 марта 2023 года Роскомнадзор обязал компании оценивать возможный вред в случае нарушений Закона «О персональных данных» (приказ от 27.10.2022 № 178). Раньше компании делали это по своему усмотрению. Теперь ответственный работник будет оценивать степень вреда при нарушениях обработки персональных данных. Всего три степени вреда: высокая, средняя и низкая. Такое правило будет действовать до 1 марта 2029 года. |
Внутренний аудит: что проверить в документах компании
Внутренний аудит персональных данных поможет выявить нарушения в документах раньше Роскомнадзора, а также выполнить требования п. 4. ч. 1 ст. 18.1 Закона «О персональных данных». Риски административных санкций за нарушения достаточно высокие (ст. 13.11 и 19.7 КоАП РФ). Кроме того, могут выписать отдельный штраф за каждое правонарушение в соглашениях. Поэтому важно вовремя проводить аудит документов об обработке персональных данных.
Перечень основных документов и действий для внутреннего аудита персональных данных скачайте здесь
Локальные акты по обработке персональных данных: советы и чек-лист для экспресс-аудита
Разработайте и утвердите несколько специализированных ЛНА для исполнения отдельных требований законодательства по работе с ПД в зависимости от процессов, которые они будут регламентировать. Среди таких ЛНА могут быть:
-
Положение о порядке обработки персональных данных на бумажных носителях;
-
Положение о порядке обработки персональных данных в информационных системах;
-
Регламент по порядку хранения персональных данных;
-
Инструкция по порядку доступа в помещения с персональными данными;
-
Иные локальные нормативные акты в зависимости от особенностей бизнес-процессов и специфики компании.
Проведение такого контроля — это обязанность каждой организации, чтобы выполнить требования п. 4. ч. 1 ст. 18.1 Закона «О персональных данных». Результаты аудита, а также подтверждение исправленных нарушений необходимо представить в ходе проверки Роскомнадзора.
|
ПАМЯТКА Что важно проверить в Положении по персональным данным 1) Наличие перечня должностных лиц, имеющих полный доступ. 2) Наличие перечня должностных лиц, имеющих ограниченный доступ (с указанием целей и перечня ПД). 3) Закрепление внутреннего доступа. 4) Закрепление внешнего доступа. 5) Определение порядка хранения документов, содержащих персданные. 6) Определение порядка действий представителей работодателя при нахождении на территории третьих лиц и при передачи ПД третьим лицам. 7) Определение угроз безопасности персональных данных при их обработке в информационных системах ПД. 8) Установление правил доступа к персданным, обрабатываемым в информационной системе ПД, а также обеспечением регистрации и учета всех действий, совершаемых с персданными в информационной системе ПД.
|
Чек-лист нарушений для экспресс-аудита персональных данных
| № п/п | Нарушение | Основание (НПА) | Рекомендации по исправлению |
|
1 |
Отсутствует локальный нормативный акт, устанавливающий порядок обработки ПД работников, а также – закрепляющий их права и обязанности в этой области |
Ст. 86, 88 ТК РФ | Разработать локальный нормативный акт, ознакомить с ним всех работников текущей датой. |
| 2 | Отсутствует письменная форма согласия на обработку ПД либо – указанная форма не соответствует требованиям законодательства |
Ст. 6, ст. 9 ФЗ №152 |
Разработать/доработать письменную форму согласия на обработку персональных данных. Получить согласие/ несогласие на обработку указанных форме персональных данных от работника |
| 3 | Не подается уведомление о намерении осуществлять обработку персональных данных |
Ст. 22 ФЗ №152 |
Подать уведомление в Роскомнадзор |
| 4 | Отсутствует приказ о назначении ответственного за организацию обработки ПД | Ст. 22.1 ФЗ №152 | Назначить лицо, ответственное за организацию обработки персональных данных |
| 5 | Документ, определяющий политику в отношении обработки персональных данных не опубликован или к нему не обеспечен неограниченный доступ к документу | Ч. 2 ст. 18.1 ФЗ №152 | Опубликовать Политику (например, на сайте организации) либо иным способом обеспечить к нему неограниченный доступ (например, на информационном стенде). |
| 6 | Отсутствует акт об уничтожении персональных данных | Ч. 7 ст. 21 ФЗ №152 | Фиксировать факт уничтожения персональных данных по новой форме |
| 7 | Отсутствует уведомление о трансграничной передаче персональных данных | Ст. 12 ФЗ №152 | Направлять уведомление в Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян |
Материал подготовлен департаментом трудового права компании «Митрофанова и партнеры»
|
Чтобы снизить риск проверок и штрафов, проведите аудит персданных в кадровых документах вашей компании самостоятельно с помощью нашего чек-листа или обратитесь за помощью к нашим экспертам. Профессиональный аудит не только выявит нарушения раньше проверки Роскомнадзора и позволит избежать высоких штрафов, но и даст рекомендации с пошаговым алгоритмом для устранения ошибок.
|